摘要:ASP.NET 2.0 包含一些新增功能,以使确保ASP.NET 应用程序的安全性变得比以前更加容易。了解如何使用新增的控件、工具和API 来控制对页的访问,并且使存储有关用户的信息变得更加容易。
ASP.NET 2.0 是在ASP.NET 1.x 的基础之上构建的,使您能够更加容易地创建和管理用户,以及对Web 应用程序中的页进行密码保护。新的框架包含用于处理身份验证和授权的新增功能,能够同时满足Web 站点管理员和开发人员的需要。Web 站点管理员可以利用新的Web 站点管理工具来创建新的用户和角色,以及控制对Web 应用程序中页面的访问。Web 站点管理工具是一组预先编写的ASP.NET 页,不具备编程技巧的用户可以使用它们来配置Web 应用程序。开发人员可以利用新增的Login控件,以便快速地在Web 应用程序中生成与安全性相关的页面。例如,开发人员可以简单地通过将Login 控件拖到.aspx 页上来创建登录页。通过利用Login控件,开发人员可以生成登录页、注册页或密码恢复页,而无须编写任何代码。最后,ASP.NET 2.0 框架包含新增的安全性相关功能,这些功能能够满足高级开发人员的需要。新增的Membership API 是一组类,这些类包含用于创建和检索有关应用程序用户的信息的方法。此外,新的框架包含能够使处理自定义用户角色变得更加容易的类。
1. 安全性和提供程序模型
对于ASP.NET 2.0 框架,您感受到的最大变化是安全性非常有效。使用新的框架,您在启用表单身份验证之后,可以立即针对用户数据库来注册和验证用户,而无须生成任何数据库表或者编写任何代码。这是因为ASP.NET 2.0 框架使用提供程序模型来实现安全性。
提供程序模型(在整个ASP.NET 2.0 框架中使用)为您提供了插入组件(它们为您的应用程序实现不同的服务)的标准方法。ASP.NET 2.0 框架使用两种类型的提供程序来实现安全性:成员身份提供程序和角色提供程序。成员身份提供程序用于存储用户名和密码,而角色提供程序用于存储用户角色。默认的成员身份提供程序是AccessMembershipProvider。该提供程序在Microsoft Access 数据库中存储用户名和密码。将在应用程序的Data 文件夹中为您自动创建Access 数据库(如果您意外删除了Access 数据库,则当您下次尝试连接到该数据库时,将自动重新创建该数据库)。每当您创建新的Web 应用程序时,Access 提供程序都将自动创建您在开始验证用户身份时需要的所有内容。ASP.NET 2.0 框架附带了两个成员身份提供程序:默认的AccessMembershipProvider以及SqlMembershipProvider。如果您希望在Microsoft SQL Server 数据库中存储成员身份信息,则可以将您的应用程序配置为使用SqlMembershipProvider,而无须重新编写任何应用程序代码(启用SqlMembershipProvider的步骤将在下一节讨论)。您还可以创建自定义成员身份提供程序。例如,您可能希望在XML 文件、FoxPro 数据库或Oracle 数据库中存储成员身份信息。您甚至还可能希望实现通过Web 服务检索成员身份信息的成员身份提供程序。如果您希望创建您自己的成员身份提供程序,您需要实现抽象类MembershipProvider 的所有方法和属性(成员身份提供程序只是MembershipProvider基类的一个实例而已)。
使用SqlMembershipProvider
如果您正在开发Web 应用程序,或者正在开发准备供少数用户使用的应用程序,则使用Access 数据库就已经很不错了。然而,如果您需要生成更为健壮的应用程序,您需要在具有更高可伸缩性的数据库(如Microsoft SQL Server)中存储用户名和密码。如果您希望在Microsoft SQL Server 数据库而不是默认的Microsoft Access 数据库中存储成员身份信息,则需要为您的应用程序修改默认的成员身份提供程序。如果您不希望手动更新应用程序的Web.Config 文件,您还可以通过使用Web 站点管理工具(在下一节中介绍)或用于Internet 信息服务的ASP.NET Microsoft 管理控制台(MMC) 管理单元来切换提供程序。这两个工具都为您提供了用于指定成员身份提供程序的用户友好界面。
配置成员身份提供程序属性
AccessMembershipProvider和SqlMembershipProvider都支持多个为提供程序所特有的属性。可以使用这些成员身份提供程序属性来控制在数据库中存储和检索成员身份信息的方法。可以在应用程序的Web 配置文件中更改这些属性的值。例如,passwordFormat属性确定了在数据库中存储密码的方式。您可以选择存储明文密码、加密密码或密码哈希值。出于安全原因,您可能希望在数据库中存储哈希值而不是实际的密码,以便在您的Web 应用程序受到损害时,使黑客无法窃取实际的用户密码。还要注意,您还可以通过设置enablePasswordRetrieval属性,允许或禁止从数据库中检索用户密码。同样,为了确保安全,您可能不希望允许用户检索他们的密码。
以上是一部分介绍,如需要完整的资料或者如不符合您的要求,请联系技术人员qq:242219979咨询
上一篇:asp网站图形验证码_开题报告_文献综述
下一篇:基于IPv6的下一代校园网设计