ASP.NET应用程序安全控制的作用及原理
来源:互联网 发布:网络棋牌赌博没人管 编辑:程序博客网 时间:2024/05/18 03:28
我们知道Web应用程序提供的服务是可以通过世界上任意一台可以连到互联网的计算机来访问。而在链接路径上的任意位置都可能存在数据拦截,但是我们却是很难确定用户的位置。这些不合规则的访问会不同程度地给服务器造成影响,轻者造成服务器响应出错,重者泄漏其他机密信息或是造成服务器瘫痪。而我们最害怕的是后者,试想:记录客户信用卡帐号的信息被盗窃,在线证券的服务器被攻击瘫痪等等,这是多么可怕的事情呀。而这些危害安全的非法访问都是利用漏洞的,无论是网络的漏洞,还是Web应用程序的漏洞,如果不进行严密的安全控制,带来的损失往往是难以估量的,但是我们可以从安全控制上来最大可能的减少这种事情的发生。Web应用程序的安全和网络安全是两码事,但都是至关重要的。这里我们主要介绍关于ASP.NET中Web应用程序的安全控制。
任何成功的应用程序安全策略的基础都是稳固的身份验证和授权手段,以及提供机密数据的保密性和完整性的安全通讯。在维护Web应用程序的安全控制中,我们普遍使用的是身份验证技术。身份验证(authentication)是一个标识应用程序客户端的过程,这里的客户端可能包括终端用户、服务、进程或计算机,通过了身份验证的客户端被称为主体(principal)。身份验证可以跨越应用程序的多个层发生。终端用户起初由Web应用程序进行身份验证,通常根据用户名和密码进行;随后终端用户的请求由中间层应用程序服务器和数据库服务器进行处理,这过程中也将进行身份验证以便验证并处理这些请求。
ASP.NET 与 IIS、.NET 框架和操作系统所提供的基础安全服务配合使用,共同提供一系列身份验证和授权机制,如图12.1演示了这些组件之间如何相互配合,共同完成安全控制作用的。
图 12.1 ASP.NET安全服务体系
做为Web程序员来讲,我们更关心的是身份验证和授权的安全控制阶段。ASP.NET的身份验证提供程序包括窗体(Forms)份验证(也称为表单验证)、Windows身份验证、护照(Passport)身份验证和无验证(None),共4种。当通过身份验证后,ASP.NET会检查是否启用身份模拟。如果启用,ASP .NET 应用程序使用客户端标识以客户端的身份有选择地执行。否则,ASP.NET应用程序使用本机身份标识运行(一般使用本机的ASPNET帐号),具体流程如下图所示:
图 12.1 身份验证流程
- ASP.NET应用程序安全控制的作用及原理
- ASP.NET 应用程序的安全
- ASP.NET应用程序结构及安全规划
- ASP.NET应用程序结构及安全规划
- ASP.NET应用程序结构及安全规划
- ASP.NET应用程序结构及安全规划
- 构建安全的 ASP.NET 应用程序
- 构建安全的 ASP.NET 应用程序前言
- 构建安全 ASP.NET 应用程序的简介
- ASP.NET应用程序的安全模型
- 构建安全 ASP.NET 应用程序的简介
- ASP.NET应用程序的安全模型
- 构建安全的 ASP.NET 应用程序前言
- ASP.NET应用程序的安全模型
- ASP.NET应用程序的安全模型
- ASP.NET应用程序的安全方案
- 构建安全的 ASP.NET 应用程序
- ASP.NET应用程序的安全模型
- 一种“您无权查看该网页”的原因和解决方法
- 动态控制Page页的Head信息
- ASP.NET应用程序开发七大技巧
- 在 .NET中使用Oracle数据库事务
- ASP.NET随机显示数据库记录
- ASP.NET应用程序安全控制的作用及原理
- neodatis.odb 第二篇 一切都是比特
- 在ASP.NET 2.0中实现数据的绑定
- 利用MD5加密数据库中的密码
- 给ASP.Net初学者的关于继承和多态性的例子
- 运用 ADO.NET 对象优化数据查询代码
- 漫谈.Net PetShop和Duwamish ADO.NET数据库编程
- 解析.Net框架下的XML编程技术
- 体验.net 2.0 的优雅 - 异步WebService调用