【導(dǎo)讀】Theuser—let’scallhimBob—wantstoviewPageA,whichcan’tbeaccessedby

　　

【正文】 Bob 離開計算機并享受了一杯咖啡。然后去吃午飯。當(dāng)他重新回到計算機前時，已經(jīng)過了 25 分鐘。 Bob 現(xiàn)在希望再次瀏覽頁面 B，但是他機器上的 cookie 已經(jīng)過期了。服務(wù)器在接收頁面請求時沒有得到 cookie，所以 Bob必須重新登錄。 一般都會將用戶機器上的 cookie 設(shè)置為在一定時間之后過期。在上面的情景中，服務(wù)器為 cookie指定了 20分鐘的有效期，這意味著只要在 20分鐘之 內(nèi)向服務(wù)器發(fā)送兩次請求，本地機器上的 cookie 就將一直保持活動狀態(tài)。然而，如果 20 分鐘之內(nèi)沒有向站點發(fā)出請求，用戶將必須重新登錄才能查看受限的內(nèi)容。 您將注意到在前面的示例中創(chuàng)建的登錄頁面為用戶提供了“ remember my details for next time” (記住用戶名 )選項。選中該選項將在瀏覽器的 cookie集中寫入一個有效時間更為長久的 cookie，在下次訪問這個站點的時候，您的賬戶名將提前顯示在頁面上。由于不 應(yīng)將口令信息保存在 cookie中，因此每次登錄都必須輸入口令，但至少不用輸入用戶名字 段。 其他的身份驗證方法 (Windows 身份驗證和 Passport 身份驗證 )提供的終端用戶都比較熟悉。例如， Windows 身份驗證模式依賴于 Web 服務(wù)器 (一般情況下都是 IIS)來控制站點的訪問權(quán)限，但也可以同時使用過期機制阻塞空閑了過長時間的用戶。要配置Windows 身份驗證，需要指定位于公司 Active Directory(AD)域內(nèi)的哪些用戶或角色可以訪問站點。然后這些用戶就可以使用登錄公司網(wǎng)絡(luò)上的計算機時所用的登錄信息訪問站點。 也可以在公司的外部環(huán)境中查看使用 Windows 身份驗證模式的站點，只 不過在試圖查看一個由 Windows 身份驗證模式保護的頁面時必須輸入標(biāo)準(zhǔn) Windows 登錄證書。 Passport身份驗證模式的普及率沒有 Microsoft期望的那么高，但確實有一些站點連接到Passport網(wǎng)絡(luò)處理站點的身份驗證 (例如， )。 Passport身份驗證依賴于存儲用戶賬戶的數(shù)據(jù)庫，該數(shù)據(jù)庫可以通過任意線路進行訪問，有點類似于保存 Web 賬戶的中心 Active Directory。 本書使用 Forms 身份驗證處理 Wrox United站點的所有身份驗證。 如果希望在 Wrox United站點包含一些個性化信息，那么必須為其配置安全策略。已完成的站點中 ()具有購物車功能。另外，完成后的站點中還有一個管理區(qū)，允許管理員在其中編輯預(yù)定日期、修改成員資料等。所有這些都意味著必須在某個階段添加一些用戶和角色 —— 由于您已經(jīng)具有使用配置工具的充足經(jīng)驗，現(xiàn)在應(yīng)該可以執(zhí)行這個過程的第一個步驟。下面的 “ 試一試 ” 練習(xí)將帶領(lǐng)您逐步為 Wrox United站點配置 用戶賬戶和角色。在這個階段，不必?fù)?dān)心鎖定了站點的部分內(nèi)容；這是本書后續(xù)部分的任務(wù)。 (1) 先在 VWD 中打開本章的 Wrox United 示例站點。在打開該站點之后，單擊Website 菜單并選擇 Configuration。這將啟動站點的配置工具。圖 432顯示已完成的站點的配置界面。 圖 432 (2) 單擊 Security 鏈接進入配置用戶和角色的選項頁。與在本章前面的練習(xí)中進行的操作一樣，啟動安全設(shè)置向?qū)АＴ诓僮髟撓驅(qū)У倪^程中，選擇如下內(nèi)容： ● 該應(yīng)用程序?qū)⑹褂迷?Inter上。 ● 激活角色。 ● 如果不存在角色，創(chuàng)建以下角色： Administrator、 FanClubMember、 Manager、Owner 和 Reporter(如圖 433所示 )。 圖 433 ● 最后，創(chuàng)建用戶賬戶 —— 最少創(chuàng)建 5個用戶賬戶以便在每個角色中至少有一個賬戶。 Wrox United應(yīng)用程序預(yù)定義的用戶賬戶如圖 434所示。 圖 434 查看一下完整應(yīng)用程序的配置可以看到預(yù)定義的用戶賬戶分屬于不同的角色，所以ChrisH賬戶是 Reporter 角色的成員， Jim是 Owners 角色的成員，而 Lou是 Fan Club角色的成員。 (3) 向?qū)ЫY(jié)束之后，需要在 WroxUnited目錄內(nèi)創(chuàng)建一些子文件夾，它們將包含站點的特定部分 —— Admin和 FanClub部分。 (4) 現(xiàn)在可以進入管理 Access Rules 的區(qū)域添加以下規(guī)則： ● 對 WroxUnited主文件夾，允許匿名訪問。 ● 對 FanClub 文件夾， 首先拒絕所有用戶訪問，然后添加一個規(guī)則，只允許FanClub角色的成員進行訪問。 ● 對 Admin文件夾，拒絕所有用戶訪問。 由于現(xiàn)在還不會用到這些用戶賬戶和角色，因此暫時不必對站點進行其他處理。然而，在創(chuàng)建站點的其他頁面時這些準(zhǔn)備工作將為以后的工作打下很好的基礎(chǔ)。 操作回顧 在 Wrox United應(yīng)用程序中，可以看到一個功能完整的 Web應(yīng)用程序的配置信息?？梢允褂霉芾砉ぞ吆?，從而弄清楚這些基本權(quán)限是怎么設(shè)置的。這個示例只是簡單介紹本書后面的內(nèi)容，因為第 11 章詳細(xì)討論基于角色的權(quán)限控制并介紹其他通過使用角色允許和限制內(nèi)容的技術(shù)。 用于過濾 FanClub文件夾訪問權(quán)限的代碼已添加到 FanClub文件夾內(nèi)的 文件中。如下所示： ?xml version= encoding=utf8? configuration authorization allow roles=FanClubMember / deny users=* / /authorization / /configuration 注意 FanClubMember 角色被定義成惟一能夠訪問該文件夾內(nèi)的內(nèi)容的角色。 這個示例中創(chuàng)建的目錄級別的權(quán)限已經(jīng)在站點內(nèi)創(chuàng)建了一個受限區(qū)域。第 11 章將在 Administration小節(jié)和 Fan Club小節(jié)中帶領(lǐng)您進行一些練習(xí)，演示 的不同組成部分。這些示例是基于對本節(jié)內(nèi)容的理解之上的。 本章討論了安全的基礎(chǔ)內(nèi)容、身份的概念以及登錄站點的過程。有些概念對于任何使用 Inter 在網(wǎng)上沖浪、參加社區(qū)討論或者在線購物的人來說都是很熟悉的， 而且由于這些概念的使用范圍是如此廣泛，因此 ，從而簡化站點的創(chuàng)建工作。 需要理解的核心概念包括： ● Identity：身份，一個個體由一組屬性進行描述，這些屬性保證個體的惟一性。 ● Authentication：身份驗證，向服務(wù)器傳送一組證書信息從而使服務(wù)器標(biāo)識用戶的身份。如果服務(wù)器可以標(biāo)識試圖進行連接的用戶，那么用戶將通過驗證。 ● Authorization：授權(quán)，將已通過驗證的用戶證書和一組訪問控制規(guī)則進行比較，從而 針對 “ 這個用戶能夠訪問所請求的資源嗎？ ” 這個問題給出答案。 ● Personalization：個性化，根據(jù)當(dāng)前登錄的用戶提供特定的信息。 ● Membership：成員關(guān)系，表示歸屬的概念。本章討論了用戶屬于特定角色的概念 。