NET Web 應(yīng)用的安全性

DEV337:

ASP.NETWeb應(yīng)用的平安性日程概述驗證(Authentication)授權(quán)(Authorization)基于角色的平安性管理和規(guī)劃平安的策略平安效勞ASP.NET支持驗證和授權(quán)可擴展和定制透明的認(rèn)證方案簡單的部署模型支持可聲明的和強制性的授權(quán)支持應(yīng)用級的平安性進(jìn)程標(biāo)識Windows?2000:默認(rèn)是ASPNET(本地賬號)可以按照System或者由<processModel>設(shè)置的賬號Windows.NETServer使用IIS6進(jìn)程模型默認(rèn)是NetworkService可配置應(yīng)用池，標(biāo)識好也可配置請求標(biāo)識模擬(Impersonation)按照請求標(biāo)識的平安設(shè)置運行可在ASP.NET中配置可以設(shè)置為與ASP兼容<system.web><identityimpersonate="true"/></system.web>檢查線程標(biāo)識<%@ImportNamespace=""%>DimcurrAsWindowsIdentitycurr=WindowsIdentity.GetCurrent()//threadacctnameisincurr.Name//tokenincurr.Token(astypeIntPtr)配置標(biāo)識

demoConfigurationLockdown通過配置文件進(jìn)行管理控制用來設(shè)置平安策略或者限制應(yīng)用程序行為<locationpath="site1/application1"allowOverride="false"><system.web><identityimpersonate="true"/></system.web>

</location>ConfigurationLockdown

demoASP.NET請求的處理過程NativeCode.NETCodeApplicationHost(IIS)ASP.NETPageASP.NETRuntimeASP.NETServiceHTTPHandlerHTTPModuleGlobal.asaxHTTPModuleHttpContext每個請求事件:BeginRequestAuthenticateRequestAuthorizeRequestResolveRequestCacheAcquireRequestStatePreRequestHandlerExecute<handlerexecuteshere>PostRequestHandlerExecuteReleaseRequestStateUpdateRequestCacheEndRequest日程概述驗證(Authentication)授權(quán)(Authorization)基于角色的平安性管理和規(guī)劃平安的策略驗證ASP.NET實際上是ISAPI擴展僅僅處理可以識別的內(nèi)容Windows驗證(通過IIS)根本,摘要,NTLM,Kerberos,認(rèn)證支持充分利用了平臺的驗證方式基于表單(Cookie)的驗證應(yīng)用程序的平安性驗證支持Microsoft?Passport驗證方式定制的驗證方式MicrosoftPassport在成員站點中間，只需要一次登陸集成到了ASP.NET驗證方式需要安裝PassportSDKASP.NET處理:IPassportManager,IPassportManager2,IPassportCrypt接口詳細(xì)信息IIS6直接支持Passport基于表單的驗證容易實現(xiàn)ASP.NET提供了重定向步驟配置IIS允許匿名用戶(默認(rèn)方式)使用SSL!配置ASP.NETcookie驗證編寫你自己的登陸頁面表單驗證的工作方式WebBrowser1GETdefault.aspxHTTP/1.122.302Redirect

Location:login.aspx33.POSTlogin.aspxHTTP/1.1

<formdatacontainingcredentials>55.200OK

Set-Cookie:.ASPXAUTHAuthTicket66.GETdefault.aspxHTTP/1.1

Cookie:.ASPXAUTHAuthTicket44.AppauthenticationIIS/ASP.NETSQL/AD配置表單驗證<authenticationmode="Forms"><forms name=".ASPXAUTH"loginUrl="login.aspx"protection="all"timeout="30"path="/" /></authentication>配置表單驗證<machineKey>局部配置不同的鍵值來區(qū)分不同的應(yīng)用必須在Webfarms之間同步

<machineKeyvalidationKey="autogenerate"decryptionKey="autogenerate"validation="SHA1"/>基于表單驗證

demo定制的Web驗證處理AuthenticateRequest事件應(yīng)用程序級別(global.asax)或者HttpModule(implementIHttpModule)適用于:定制SOAP驗證例如：

應(yīng)用程序根據(jù)SOAP信頭定義Schema對不支持cookies的移動設(shè)備設(shè)置表單驗證方式定制其他的驗證方式日程概述驗證(Authentication)授權(quán)(Authorization)基于角色的平安性管理和規(guī)劃平安的策略授權(quán)的策略Windows平安和ACLsWindows驗證需要檢查ACLs獨立的模擬(Impersonate)模式COM+角色URL授權(quán)定制授權(quán)Windows.NETAuthZ框架明確的強制的/可聲明的檢查使用URL授權(quán)例如:允許“Admins〞或者“WebServiceUsers〞然后拒絕所有其他用戶例如:拒絕匿名用戶<!--*isallusers,?isanonymoususers--><authorization><allowverbs="POST"Roles="Admins"/><allowRoles="WebServiceUsers"/><denyusers="*"/></authorization><authorization><denyusers="?"/></authorization>使用授權(quán)

demo定制Web授權(quán)處理AuthorizeRequest事件應(yīng)用程序級(global.asax)或者HttpModule(實現(xiàn)IHttpModule)適用于:實現(xiàn)按照請求計算的記賬系統(tǒng)根據(jù)商業(yè)規(guī)那么，限制訪問根據(jù)動態(tài)行為〔例如：按天計算的訪問限制等〕限制訪問定制授權(quán)

demo日程概述驗證(Authentication授權(quán)(Authorization)基于角色的平安性管理和規(guī)劃平安的策略使用定制的角色應(yīng)用程序定義角色策略:定義Windows/AD組并且使用WindowsPrincipal使用GenericPrincipal或者IPrincipal// publicinterfaceIPrincipal{ IIdentity{get;} boolIsInRole(stringrole);}Web應(yīng)用:定制角色處理驗證事件將HttpContext.User代替為定制的IPrincipal或者GenericPrincipalpublicvoidWindowsAuthentication_OnAuthenticate( Objectsrc, WindowsAuthenticationEvente){//replaceHttpContextPrincipal=newMyPrincipal(e.Identity);}基于角色的平安性

demo日程概述驗證(Authentication授權(quán)(Authorization)基于角色的平安性管理和規(guī)劃平安的策略管理和規(guī)劃平安的策略可能的話，盡量不用需要加密的東西例如使用集成的驗證方式LayerprotectionstrategiesCombineminimalACLswithDPAPI(CryptProtectData/CryptUnprotectData)從ServicedComponent繼承的類使用COM+企業(yè)效勞來運行有固定標(biāo)識的代碼實現(xiàn)IConfigurationSectionHandler以在配置文件中存儲需要加密的信息在Web應(yīng)用中保存秘密信息