NET Web 應用的安全性

DEV337:

ASP.NETWeb應用的平安性日程概述驗證(Authentication)授權(quán)(Authorization)基于角色的平安性管理和規(guī)劃平安的策略平安效勞ASP.NET支持驗證和授權(quán)可擴展和定制透明的認證方案簡單的部署模型支持可聲明的和強制性的授權(quán)支持應用級的平安性進程標識Windows?2000:默認是ASPNET(本地賬號)可以按照System或者由<processModel>設(shè)置的賬號Windows.NETServer使用IIS6進程模型默認是NetworkService可配置應用池，標識好也可配置請求標識模擬(Impersonation)按照請求標識的平安設(shè)置運行可在ASP.NET中配置可以設(shè)置為與ASP兼容<system.web><identityimpersonate="true"/></system.web>檢查線程標識<%@ImportNamespace=""%>DimcurrAsWindowsIdentitycurr=WindowsIdentity.GetCurrent()//threadacctnameisincurr.Name//tokenincurr.Token(astypeIntPtr)配置標識

demoConfigurationLockdown通過配置文件進行管理控制用來設(shè)置平安策略或者限制應用程序行為<locationpath="site1/application1"allowOverride="false"><system.web><identityimpersonate="true"/></system.web>

</location>ConfigurationLockdown

demoASP.NET請求的處理過程NativeCode.NETCodeApplicationHost(IIS)ASP.NETPageASP.NETRuntimeASP.NETServiceHTTPHandlerHTTPModuleGlobal.asaxHTTPModuleHttpContext每個請求事件:BeginRequestAuthenticateRequestAuthorizeRequestResolveRequestCacheAcquireRequestStatePreRequestHandlerExecute<handlerexecuteshere>PostRequestHandlerExecuteReleaseRequestStateUpdateRequestCacheEndRequest日程概述驗證(Authentication)授權(quán)(Authorization)基于角色的平安性管理和規(guī)劃平安的策略驗證ASP.NET實際上是ISAPI擴展僅僅處理可以識別的內(nèi)容Windows驗證(通過IIS)根本,摘要,NTLM,Kerberos,認證支持充分利用了平臺的驗證方式基于表單(Cookie)的驗證應用程序的平安性驗證支持Microsoft?Passport驗證方式定制的驗證方式MicrosoftPassport在成員站點中間，只需要一次登陸集成到了ASP.NET驗證方式需要安裝PassportSDKASP.NET處理:IPassportManager,IPassportManager2,IPassportCrypt接口詳細信息IIS6直接支持Passport基于表單的驗證容易實現(xiàn)ASP.NET提供了重定向步驟配置IIS允許匿名用戶(默認方式)使用SSL!配置ASP.NETcookie驗證編寫你自己的登陸頁面表單驗證的工作方式WebBrowser1GETdefault.aspxHTTP/1.122.302Redirect

Location:login.aspx33.POSTlogin.aspxHTTP/1.1

<formdatacontainingcredentials>55.200OK

Set-Cookie:.ASPXAUTHAuthTicket66.GETdefault.aspxHTTP/1.1

Cookie:.ASPXAUTHAuthTicket44.AppauthenticationIIS/ASP.NETSQL/AD配置表單驗證<authenticationmode="Forms"><forms name=".ASPXAUTH"loginUrl="login.aspx"protection="all"timeout="30"path="/" /></authentication>配置表單驗證<machineKey>局部配置不同的鍵值來區(qū)分不同的應用必須在Webfarms之間同步

<machineKeyvalidationKey="autogenerate"decryptionKey="autogenerate"validation="SHA1"/>基于表單驗證

demo定制的Web驗證處理AuthenticateRequest事件應用程序級別(global.asax)或者HttpModule(implementIHttpModule)適用于:定制SOAP驗證例如：

應用程序根據(jù)SOAP信頭定義Schema對不支持cookies的移動設(shè)備設(shè)置表單驗證方式定制其他的驗證方式日程概述驗證(Authentication)授權(quán)(Authorization)基于角色的平安性管理和規(guī)劃平安的策略授權(quán)的策略Windows平安和ACLsWindows驗證需要檢查ACLs獨立的模擬(Impersonate)模式COM+角色URL授權(quán)定制授權(quán)Windows.NETAuthZ框架明確的強制的/可聲明的檢查使用URL授權(quán)例如:允許“Admins〞或者“WebServiceUsers〞然后拒絕所有其他用戶例如:拒絕匿名用戶<!--*isallusers,?isanonymoususers--><authorization><allowverbs="POST"Roles="Admins"/><allowRoles="WebServiceUsers"/><denyusers="*"/></authorization><authorization><denyusers="?"/></authorization>使用授權(quán)

demo定制Web授權(quán)處理AuthorizeRequest事件應用程序級(global.asax)或者HttpModule(實現(xiàn)IHttpModule)適用于:實現(xiàn)按照請求計算的記賬系統(tǒng)根據(jù)商業(yè)規(guī)那么，限制訪問根據(jù)動態(tài)行為〔例如：按天計算的訪問限制等〕限制訪問定制授權(quán)

demo日程概述驗證(Authentication授權(quán)(Authorization)基于角色的平安性管理和規(guī)劃平安的策略使用定制的角色應用程序定義角色策略:定義Windows/AD組并且使用WindowsPrincipal使用GenericPrincipal或者IPrincipal// publicinterfaceIPrincipal{ IIdentity{get;} boolIsInRole(stringrole);}Web應用:定制角色處理驗證事件將HttpContext.User代替為定制的IPrincipal或者GenericPrincipalpublicvoidWindowsAuthentication_OnAuthenticate( Objectsrc, WindowsAuthenticationEvente){//replaceHttpContextPrincipal=newMyPrincipal(e.Identity);}基于角色的平安性

demo日程概述驗證(Authentication授權(quán)(Authorization)基于角色的平安性管理和規(guī)劃平安的策略管理和規(guī)劃平安的策略可能的話，盡量不用需要加密的東西例如使用集成的驗證方式LayerprotectionstrategiesCombineminimalACLswithDPAPI(CryptProtectData/CryptUnprotectData)從ServicedComponent繼承的類使用COM+企業(yè)效勞來運行有固定標識的代碼實現(xiàn)IConfigurationSectionHandler以在配置文件中存儲需要加密的信息在Web應用中保存秘密信息