淺析ASP.NET的身份驗證

1、淺析ASP.NET的身份驗證論文關(guān)鍵詞：身份驗證,驗證,身份驗證,身份驗證一、問題描述1、問題的提出在網(wǎng)站的開發(fā)中，大多數(shù)都會碰到與用戶的交互。用戶可以利用應(yīng)用程序來完成自己的業(yè)務(wù)或?qū)崿F(xiàn)一些功能，比方發(fā)布信息，獲取信息等等。為了交互應(yīng)用的需要，這些用戶需要保存到存儲器中，不同用戶的權(quán)限不同，比方：管理員可以配置應(yīng)用程序，可以增、刪、改用戶信息，而普通的用戶只能瀏覽網(wǎng)站。要實現(xiàn)不同用戶的權(quán)限管理，首先就要對不同的用戶的身份進(jìn)行確認(rèn)，這就是本文要講述的主題身份驗證。2、身份驗證的概念什么是身份驗證？web應(yīng)用程序中如果想要不同的用戶有不同的資源訪問權(quán)限，就要對訪問該資源的用戶進(jìn)行區(qū)分，應(yīng)用程序需要

2、知道該用戶是誰，以確定訪問者的身份是否有權(quán)限進(jìn)行訪問和操作。這一過程就是身份驗證。1、Windows驗證使用這種身份驗證模式時，ASP.NET依賴于IIS對用戶進(jìn)行驗證，并創(chuàng)立一個Windows訪問令牌來表示已通過驗證的標(biāo)識。IIS提供以下幾種身份驗證機(jī)制：l根本身份驗證l簡要身份驗證l集成windows身份驗證l證書身份驗證l匿名身份嚴(yán)整2、Passport護(hù)照身份驗證在通常的基于用戶名和密碼的身份驗證程序中，網(wǎng)站開發(fā)人員一般要處理下面幾個過程：l一個用于用戶輸入用戶名和密碼的圖形界面l一個用來保存用戶信息的數(shù)據(jù)庫l實現(xiàn)用戶驗證l注銷功能3、Forms窗體)身份驗證Forms身份驗證是使用比

3、擬多的一種驗證方式，它不需要依賴任何其他的程序或效勞，完全靠網(wǎng)站開發(fā)人員來進(jìn)行控制，因此，在web應(yīng)用程序中被廣泛使用。這種驗證方式使用客戶端重定向功能，將未通過身份驗證的用戶轉(zhuǎn)發(fā)到特定的登錄窗體，要求用戶輸入其憑據(jù)信息通常是用戶名和密碼。這些憑據(jù)信息被驗證后，系統(tǒng)生成一個身份驗證票證ticket并將其返回客戶端。身份驗證票證可在用戶的會話期間維護(hù)用戶的身份標(biāo)識信息，以及用戶所屬的角色列表。4、None使用這種身份驗證模式，表示你不希望對用戶進(jìn)行驗證，或是采用自定義的身份驗證協(xié)議。三、ASP.NET身份驗證配置架構(gòu)1、authentication元素在web.config里，authentic

4、ation元素配置ASP.NET身份驗證支持，使用mode屬性指定應(yīng)用程序的默認(rèn)身份驗證模式。mode=;Windows;,采用windows身份驗證mode=;Forms;,基于窗體身份驗證mode=;Passport;,采用護(hù)照身份驗證mode=;None;,不指定任何身份驗證2、Forms元素Forms元素為基于窗體的自定義身份驗證配置ASP.NET應(yīng)用程序。在URL中發(fā)送Forms身份驗證票時，如果匿名標(biāo)識票、Forms身份驗證票、會話ID和用戶數(shù)據(jù)的組合超出允許的最大URL所允許的長度一般是255個字符，那么請求會失敗并顯示;400-BadRequest;錯誤。3、credentia

5、ls元素credentials元素設(shè)置允許選擇在配置文件中定義名稱和密碼憑據(jù)。用戶還可以實現(xiàn)自定義的密碼架構(gòu)，以使用外部源如：數(shù)據(jù)庫來控制驗證。Credentials元素passwordFormat定義如下：lClear：指定密碼不加密lSHAI：指定使用SHAI哈希算法給密碼加密，此值為默認(rèn)值lMD5：指定使用MD5哈希算法給密碼加密4、passport元素passport元素指定在使用Passport方式驗證時用戶要重定向到的登陸頁。僅當(dāng)authentication元素的mode屬性設(shè)置為Passport時，此元素才有效。Passport身份驗證是由Microsoft提供的集中身份驗證效勞

6、，該效勞為成員站點提供單一登陸和核心配置文件效勞。假設(shè)要使用Passport身份驗證，在使用前，必須將站點注冊到Passport效勞，然后接受許可協(xié)議并安裝.NETPassportSDK。5、machineKey元素machineKey元素對密鑰進(jìn)行配置，以方便其用于對Forms身份驗證Cookie數(shù)據(jù)和視圖狀態(tài)數(shù)據(jù)進(jìn)行加密和解密，并將其用于對進(jìn)程外會話狀態(tài)標(biāo)識進(jìn)行驗證。設(shè)計分布式應(yīng)用程序的身份驗證是一項具有挑戰(zhàn)性的任務(wù)。在應(yīng)用程序開發(fā)的早期階段，進(jìn)行適當(dāng)?shù)纳矸蒡炞C設(shè)計有助于降低許多平安風(fēng)險。1、各種身份機(jī)制的比擬 用戶是否需要在效勞器中擁有windows帳戶 是否支持委托 是否需要windo

7、ws 2k客戶端和效勞器 憑據(jù)是否明文傳輸 是否支持非IE瀏覽器 根本身份驗證 是 是 否 是 是 簡要身份驗證 是 否 是 否 否 證書身份驗證 否 是 否 否 是 Forms身份驗證 否 是 否 是 是 Passport身份驗證 否 是 否 否 是 2、選擇身份驗證機(jī)制需要考慮的因素l標(biāo)識只有當(dāng)應(yīng)用程序的用戶具有的windows帳戶可以通過一個受信任的權(quán)威機(jī)構(gòu)它可以被應(yīng)用程序web效勞器訪問來進(jìn)行驗證時，使用windows身份驗證機(jī)制才是適宜的。l憑據(jù)管理windows身份驗證的一個關(guān)鍵優(yōu)勢在于它可以使用操作系統(tǒng)進(jìn)行憑據(jù)管理。當(dāng)使用非windows身份驗證方式，例如窗體身份驗證時，它必須仔

8、細(xì)考慮在何處以及如何保存用戶憑據(jù)。其中最常用的方式是使用sqlserver數(shù)據(jù)庫或使用位于ActiveDirectory中的User對象。l標(biāo)識流動是否需要實現(xiàn)一個模擬/委托模型，并將原始調(diào)用者的平安上下文在操作系統(tǒng)級進(jìn)行跨層流動-例如，以便支持審核或針對每個用戶的精細(xì)授權(quán)。l瀏覽器類型應(yīng)用程序的所有用戶是否都擁有IE瀏覽器？或是你是否需要支持一個具有混合型瀏覽器的用戶群？我們選擇身份驗證時需要根據(jù)各種方式的特點，綜合考慮以上因素。五、基于Forms身份驗證模式的實現(xiàn)方法使用Forms身份驗證比擬簡單，下面通過一個實例來說明Forms身份驗證的實現(xiàn)方法。這里假設(shè)整個網(wǎng)站都需要登陸才能訪問，而且

9、需要有注冊頁面1、站點根目錄下，配置web.config，使用Forms身份驗證將元素設(shè)置為：注解：1mode=Forms，身份驗證為Forms模式2name=MyAppFormAuth，用于身份驗證的Cookie的名字3loginUrl=login.aspx，身份驗證時用戶登陸的url4protection=All指定應(yīng)用程序同時使用數(shù)據(jù)驗證和加密方法來保護(hù)Cookie。5timeout=20指定Cookie過期的時間為20分鐘。2、在站點根目錄下建立登陸界面login.aspx,關(guān)鍵代碼如下：protecedvoidCmdLogin_Click(objectsender,EventArgse)/為了講解方便，省略數(shù)據(jù)庫查詢過程，直接判斷。If(UserName.Text=;dl;Userpwd.Text=;123;)FormsAuthentication.RedirectFromLoginPage(UserName,chkP