【正文】 e process that enables an application to ensure the identity of the user , and in turn make request to the other resources. Access to resources will be granted or denied based on the identity that is being impersonated. 2 Authentication in ASP. NET Authentication is one of the foremost features of web application’s security. In ASP. NET , authentication is done at two levels . [2]First , Inter Information Server (IIS) will perform the required authentication , then send out the request to ASP. NET , as described in Figure 1. For ASP. NET application , the underlying web server is IIS. Therefore , every ASP. NET application can continue to leverage the security options provided by IIS .When the user requests a specific resource on the system, that request will e to IIS. IIS authenticates the user requesting the resource and then hands off the request and the security token for the authenticating user to ASP. NET worker process. ASP. NET worker process will decide whether to impersonate the authenticated user supplied by IIS or not . If impersonation is enabled in the configuration setting in Web. config file , then ASP. NET worker process impersonates the authenticated user. Otherwise , the thread will run under the ASP. NET worker process identity. After all , checks whether the authenticated user is authorized to access these resources. If they are allowed to , ASP. NET serves the request。 參考文獻(xiàn) : [1] Bell ,J . , et al ,2020 ,ASP. NET Programmer’ s Reference ,Wrox Press Ltd. ,USA. [2] Chilakala ,V. ,2020 ,Microsoft ASP. NET Security ,Microsoft Support WebCasts. [3] Gonzales ,J . ,2020 ,15 Seconds : Using Forms Authentication in ASP. NET Part 1 [4] Kercher ,J . ,2020 ,Authentication in ASP. NET : . NET, Security Guidance ,MSDN Magazine August 2020. [5] Lassan ,R. ,Smith , E. ,2020 ,ASP. NET Bible ,Hungry ,Minds Inc. ,USA. [6] Leinecker , R. , 2020 ,Using ASP. NET ,Que Corporation , Indiana. [7] NET Framework Developer’ s Guide : ASP. NET Security ,Link. [8] Kieley ,J . ,2020 ,Migrating to ASP. NET : Key Consid2eration ,MSDN Magazine November 2020. authentication mode =″ Windows″ ?? / authentication authorization deny users =″ ?″ / / authorization An overview of authentication security features in ASP. NET Narcisio Tumushabe , TAN Guanzheng (School of Computer Science and Information Technology , Central South University , Changsha 410083 , China) Abstract : This article discusses the authentication feature of the ASP. NET to support security when designing a server application. Both Microsoft Inter Information Services ( IIS) and ASP. NET provide security models that will allow web developers to authenticate the your users appropriately and obtain the correct security context within the application. Three levels of authentication covered are the Formsbased , passport and windows authentications. The article literature is limited to these three areas. Key words : Forms2based。 在身份認(rèn)證中 ， 身份的 SDK 只是在服務(wù)器上安裝和注冊微軟 身份證書， 提供了一個(gè) 由 Microsoft 提供 登入憑證的訪問 會(huì)員網(wǎng)站 的簡單的 機(jī)制。 基于表單的認(rèn)證 提供了未經(jīng)認(rèn)證的用戶登錄頁面，要求他們 提供 憑據(jù)，并將對(duì)這些證書進(jìn)行 驗(yàn)證。 基于表單的認(rèn)證 和 身份認(rèn)證不要求用戶為 Windows 用戶 。 結(jié)束語 安全認(rèn)證是 Web 應(yīng)用程序安全 的最主要特征之一 。 設(shè)置 視窗認(rèn)證 authentication mode =″ Passport″ passport redirectURL =″ internal″/ / authentication 視窗認(rèn)證的 唯一的步驟 是 在 文件 中 設(shè)置身份驗(yàn)證模式為Windows 和拒絕存取匿名用戶 ， 如下所示： 模擬只 有在 代碼是 在 相同的安全 環(huán)境中 的用戶帳戶 才能 啟用。如果模擬啟用， 戶使用安全令牌重視，并在 的 “授權(quán) authorization ”一節(jié)中的 查看 使用者是否 被 授權(quán)訪問的資源。 IIS中對(duì)用戶進(jìn)行身份驗(yàn)證和 發(fā)放 安全令牌給它。 這種機(jī)制通常是 在 用戶是 Windows域和 通過 身份驗(yàn)證的用戶 時(shí)使用， 代碼執(zhí)行 在 安全性 與用戶的 Windows帳戶相同的 環(huán)境中。基本上， 視窗認(rèn)證 使用 IIS的身份驗(yàn)證功能 。 視窗認(rèn)證 這種類型的身份 認(rèn) 證可能是最簡單 的一種 。 [1,2]下面的代碼 設(shè)置 Web. config文件的身份 認(rèn) 證模式 (authentication)設(shè)置為 身份證書： 該 身份證書的重導(dǎo)向地址 （ RedirectURL） 屬性設(shè)置為內(nèi)部 （ internal） ， 這意味著未經(jīng)驗(yàn)證的請(qǐng)求能夠得到 相同 的錯(cuò)誤信息。（四）希望給 用戶 特有的訪問權(quán)。（二） 希望 提供個(gè)性化的內(nèi)容 。 身份 證書 如前所述，這個(gè)驗(yàn)證機(jī)制提供了一個(gè) 集中的認(rèn) 證服務(wù)，可 為 會(huì)員提供 特有的訪問權(quán) 。 [2 .7]為 解決這個(gè)問題，用戶名和密碼都存儲(chǔ)在 數(shù)據(jù)庫中，這個(gè) 辦法使 Web. config文件不再有 credentials 一 節(jié)。有效的用戶名和密碼可以存儲(chǔ)在 web. config的憑據(jù) (credentials)節(jié)： 然而，以明文形式存儲(chǔ)密碼是 很 不安全 的 。 （四）創(chuàng)建登錄頁 這是重定向未經(jīng)驗(yàn)證用戶的最后一步，這樣他們就可以提供其 身份 證書，通常是某種形式的用戶名和密碼，登錄到受保護(hù)的資源 的授權(quán) 。要做到這一點(diǎn)， 添加 文 件 中的 authorization ： 如上面所解釋，在用戶提供了有效的證書 后 ，用戶將被重定向到特定的網(wǎng)頁。它被設(shè)置為 “ / ”這意味著在 Cookie路徑是根目錄。通過減少 時(shí)鐘， cookie將被經(jīng)常地再生。超時(shí)設(shè)置為 10 ，這意味著在 10分鐘 后 身份驗(yàn)證 Cookie將過期。 [8]如果 設(shè)置為無， 它不使用任何加密或驗(yàn)證。 保護(hù)屬性 的 有效值 分 為 所有 ，無，加密和驗(yàn)證 。如需，這是該網(wǎng)頁所使用的身份驗(yàn)證的用戶憑據(jù)。該 表單 驗(yàn)證 通過 設(shè)置 Web應(yīng)用程序的身份驗(yàn)證模式屬性 為表單來激活 [3]: 正如