【正文】 上面的代碼， name屬性 為 HTTP cookie的名稱 。 （一）啟用匿名訪問(wèn) IIS： 這有許多工作要做，因?yàn)榇蠖鄶?shù)的用戶 被認(rèn)定為非視窗 用戶，所以他們通過(guò)IIS進(jìn)入 ASP. NET ， 登入頁(yè)面 。如果失敗了，用戶可以被重定向到登錄頁(yè) 并告訴用戶，該用戶名 /密碼無(wú)效。應(yīng)用程序代碼檢查 身份 證書(shū)。否則 返回登入失敗的信息 。 將執(zhí)行授權(quán)檢查。 中查 看 是否 有 有效的身份驗(yàn)證 cookie 附 加 請(qǐng)求 中 。這一 請(qǐng) 求將 先 到 達(dá) IIS，由 IIS 進(jìn)行 用戶身份驗(yàn)證的。此 Cookie允許用戶 反復(fù)訪問(wèn) 特 定 資源，而不必 重新執(zhí)行 登錄機(jī)制 。 [3]這一機(jī)制將自動(dòng)重定向未 驗(yàn)證 用戶到 登錄頁(yè)，并請(qǐng)他們提供適當(dāng) 的憑據(jù)（例如，用戶名 /密碼組合 ） 。 基于表單的 認(rèn)證 基于表單的 認(rèn)證驗(yàn)證 是 用定制邏輯執(zhí)行 來(lái) 驗(yàn)證用戶， 運(yùn) 用 了 Cookie 而無(wú)需擔(dān)心 Session 管理。在這種情況下， 可以 把 ASP. NET 中身份驗(yàn)證模式設(shè)置 為關(guān)閉 。 圖 1 IIS 和 的安全流程 通過(guò)幾 種 認(rèn)證 機(jī)制 提供了內(nèi)置 的 用戶身份驗(yàn)證 ， []它們 是基于 表單 的身份驗(yàn)證，應(yīng)用程序使用自定義身份驗(yàn)證模式的 Cookie 支持 來(lái)確保安全；身份證書(shū)， 應(yīng)用程序使用微軟 的身份證書(shū)來(lái) 身份驗(yàn)證 ，身份證書(shū) 是微軟開(kāi)發(fā)的 一個(gè) Web 單點(diǎn)登錄技術(shù) ，還有視 窗 驗(yàn)證 ， Web 應(yīng)用程序使用 從 集成 視窗 身份驗(yàn)證中 獲得 的 用戶 名單來(lái)驗(yàn)證用戶 。如果他們 被 允許 ， ASP. NET 提供請(qǐng)求的服務(wù) 。否則， 將自行驗(yàn)證用戶 身份。 工作進(jìn)程將決定是否模擬驗(yàn)證 IIS 所提供的 用戶 。當(dāng)用戶請(qǐng)求特定資源 時(shí) ，這一要求將 發(fā)送 到 IIS 。 應(yīng)用程序的 Web 服務(wù)器基本是 IIS 。 2 的驗(yàn)證 驗(yàn)證 是 Web 應(yīng)用程序的安全一個(gè)重要的 特征 。模擬的過(guò)程， 是 使應(yīng)用程序 確認(rèn) 用戶的身份，從而 獲得 要求的其他資源 。接下來(lái)一段時(shí)間 ，用戶 請(qǐng)求資源無(wú)需再進(jìn)行 身份驗(yàn)證，直到用戶 退出這個(gè) WEB應(yīng)用 程序 。 這涉及到接受 用戶 憑據(jù)（如用戶名和密碼） 和憑證核對(duì) 。 1 安全的基本操作 在 ASP . NET 應(yīng)用程序 的 環(huán)境中安全的 基本 操作 涉及 三步即 驗(yàn)證，授權(quán)和模擬。 有 些網(wǎng)站 發(fā)布的 信息 不來(lái)自 用戶 ，而是通過(guò)搜索引擎等廣泛渠道來(lái)收集 。 視窗認(rèn)證 中圖分類(lèi)號(hào) : TP 393108 文獻(xiàn)標(biāo)識(shí)碼 : A 文章編號(hào) : 1000 1646 (2020) 03 0250 05 安全是開(kāi)發(fā)人員和應(yīng)用程序架構(gòu)師首要關(guān)注的問(wèn)題 。 ASP. NET 中認(rèn)證安全特征評(píng)述 Narcisio Tumushabe ,譚冠正 (音譯 ) (中南大學(xué)計(jì)算機(jī)科學(xué)與信息技術(shù)學(xué)院 , 湖南長(zhǎng)沙 410083) 摘 要 : 討論了服務(wù)應(yīng)用時(shí)支持安全的 ASP. NET 認(rèn)證特征 ,微軟的互聯(lián)網(wǎng)信息服務(wù) ( IIS) 和 提供了安全模式 ,使 Web 開(kāi)發(fā)者恰當(dāng)?shù)卣J(rèn)證其使用者 ,并在應(yīng)用過(guò)程中獲得正確的安全之本 . 三個(gè)層次的認(rèn)證是基于表單的 ,身份證書(shū)和視窗認(rèn)證 . 綜述文獻(xiàn)僅限于上述三個(gè)領(lǐng)域 . 關(guān) 鍵 詞 : 表單 。 身份證書(shū) 。 由于不同類(lèi)型的網(wǎng)站 有不同的安全需要，開(kāi)發(fā)人員需要知道 需要什么程度的 安全 運(yùn)行 ，并 為他們的程序選擇適當(dāng)?shù)?安全模式 。 另外 一些網(wǎng)站，可能 要收集 用戶的敏感信息 ，比如 信用卡號(hào)碼 ，這些網(wǎng)站需要 非常嚴(yán)格的 安全 措施 ，以避免 來(lái)自外部的 惡意攻擊。驗(yàn)證的過(guò)程中 認(rèn) 證用戶身份 ,允許或拒絕請(qǐng)求 。經(jīng)過(guò)身份驗(yàn)證， 合法 用戶 對(duì) 資源 的請(qǐng) 求 將 得到滿足。 授權(quán)是給予 用戶訪問(wèn)特定資源 的資格 。 基于模擬 的 身份 ，請(qǐng)求 資源將被授予或者拒絕 。在 中，驗(yàn)證 表現(xiàn) 在兩個(gè)層次上 ， [2 ]首先， Inter 信息服務(wù)（ IIS ）將 執(zhí)行 必要的驗(yàn)證，然后 把用戶 請(qǐng)求發(fā) 送到 中 ，如 圖 1 所描述的。因此，每 個(gè) 應(yīng)用程序可以繼續(xù)利用 IIS 所提供的的安全 性選項(xiàng)。 IIS 驗(yàn)證用戶的請(qǐng)求，然后 把 認(rèn)證用戶 發(fā)送給 工作進(jìn)程。如果 中的 模仿配置是啟用的 ， 工作進(jìn) 程 將 模擬驗(yàn)證使用者。畢竟， 決定 用戶是否有權(quán)訪問(wèn)這些資源。 否者他將 一個(gè) “ 拒絕登入 ”的 錯(cuò)誤訊息傳回給用戶。 也 有些應(yīng)用程序不使用身份驗(yàn)證，或 自行開(kāi)發(fā) 驗(yàn)證 機(jī)制 。本文將簡(jiǎn)要地 涉及基于表單的 ,身份證書(shū)和視窗認(rèn)證。這使開(kāi)發(fā) 人員 獲得更多的 權(quán)限去 指定哪些文件在網(wǎng)站上可獲取和由何人 獲取 ，并可以識(shí)別的登錄頁(yè) 。如果登錄成功 ， 分配 cookie 給用戶，并重定向到他們?cè)?請(qǐng) 求 的 特定資源。 顯示如下： 圖 2 表 單 認(rèn)證流 程 在上圖中， 首先 用戶 請(qǐng)求資源 。如果 IIS 啟用匿名訪問(wèn)，或者 用戶 已成功 通過(guò) 驗(yàn)證， IIS 會(huì) 將 把 請(qǐng)求轉(zhuǎn)到 應(yīng)用程序。如果 有 ，它意味著用戶 先前已通過(guò) 驗(yàn)證。如果用戶 有 訪問(wèn)這些資源 的權(quán)限 ，將被 允許 訪問(wèn)。如果提出的請(qǐng)求沒(méi)有 附帶 任何 Cookie， 將 重定向用戶登錄頁(yè)面，并 要求用戶進(jìn)行身份驗(yàn)證 。如果身份驗(yàn)證 通過(guò) ， 將 以 附加驗(yàn)證的形式 返回 Cookie。 建立基于表單的 認(rèn)證 一般來(lái)說(shuō)，建立 基于表單的 認(rèn)證涉及 4個(gè)步驟 [2] ：（一）啟用匿名訪問(wèn) IIS（二）配置 中的 authentication（三）設(shè)定 中的authorization（ 四 ）創(chuàng)建登錄頁(yè)。 （二）配置 中的 authentication Web應(yīng)用程序的 等級(jí) 和身份驗(yàn)證服務(wù)的類(lèi)型 等 相關(guān)信息。 loginURL屬性設(shè)置為登錄 頁(yè)面 。如果用戶沒(méi)有通過(guò)驗(yàn)證 ，請(qǐng)求將 重定向到特定網(wǎng)址 loginURL。 Cookie保護(hù)設(shè)置為所有 ， 這導(dǎo)致 時(shí) 不僅加密 Cookie的內(nèi)容，而且驗(yàn)證 Cookie的內(nèi)容 。指定加密將使用 DES或 DES加密算法加密 Cookie； cookie中 的 數(shù)據(jù) 驗(yàn)證不這樣做 ， 指定驗(yàn)證 cookie的數(shù)據(jù)未作改動(dòng)的，而不是加密 Cookie的內(nèi)容。 這樣做的目的是 減少 通過(guò) 驗(yàn)證 Cookie偷竊別人的機(jī)會(huì)。路徑屬性 是 指 cookie被發(fā)送到用戶端的路徑。 （三）配置 中的 authorization authentication mode =″ Forms″ forms name =″ Login″ loginURL =″ Login. aspx″ protection =″ All″ timeout =″ 10″ path =″ / ″ / / authentication 為 ASP. NET Web 應(yīng)用程序 添加授權(quán)服務(wù) 。然而，授權(quán)在此代碼 中 將拒絕 除 “ Narcis”外 所有用戶的訪問(wèn)。在登錄頁(yè)，必須 通過(guò)對(duì)比 數(shù)據(jù)庫(kù) 來(lái) 驗(yàn)證遞交 的身份證 書(shū)。此外，在 文件 中 存儲(chǔ)數(shù)千 個(gè)用戶 名和密碼 也 是不現(xiàn)實(shí)的 。 同時(shí) Login. Aspx 頁(yè)面也因?yàn)樯矸葑C書(shū)需比對(duì) 用戶名和密碼存儲(chǔ) 在 數(shù)據(jù)庫(kù) 中而發(fā)生 一些改變。 在 下列情況下使用 身份認(rèn)證 ： [2]（一）用戶名 /密碼數(shù)據(jù)庫(kù)或登入頁(yè) 不易 configuration system. web authorization allow users =″ Narcis″ / deny users =″ 3 ″ / / authorization / system. web / configuration credentials passwordFormat =″ Clear″ user name =″ Narcis″ password =″ nar″ user name =″ Marion″ password =″mar″ user name =″ Lauren″ password =″ lau″ / credentials 維護(hù) 。（三）該網(wǎng)站將與其他 認(rèn)證 網(wǎng)站 結(jié)合 。 創(chuàng)建身份證書(shū) 為了實(shí)施這一身份 認(rèn)證 模式，必須在服務(wù)器上安裝 身份證書(shū) SDK （軟件開(kāi)發(fā)套件）和注冊(cè)微軟 身份證書(shū) 。 redirectURL 的屬性還可以是除internal 外的其他字符串，一般是 URL， 用來(lái)重定位 未經(jīng)驗(yàn)證的請(qǐng)求。 視窗認(rèn)證 可與 IIS提供的 除匿名身份驗(yàn)證 外的 幾乎所有的驗(yàn)證方法 結(jié)合 （如基本，摘要式 ， NTLM或 Kerberos身份驗(yàn)證 ）， [2,4]這里 無(wú)需 寫(xiě)任何代碼來(lái)驗(yàn)證用戶的 IIS已經(jīng)驗(yàn)證自己的 Windows憑據(jù)。 IIS將 先 完成 它的驗(yàn)證功能，然后由 否 給予 授權(quán)或 拒絕服務(wù) 。 [4]當(dāng)用戶請(qǐng)求具體 的 資源，這一要求將前往 IIS。然后，將通過(guò)認(rèn)證的要求和安全令牌 轉(zhuǎn)發(fā)給 。如果獲得批準(zhǔn)， IIS發(fā)送 用戶所要求的資源，否則，它發(fā)出的錯(cuò)誤訊息給使用者。 同樣 ，這 也要在 做配置文件中 完成 。它分為 三 個(gè)不同的 內(nèi)置服務(wù) ： 基于表單的 ， 身份認(rèn)證 和 視窗認(rèn)證 。在 視窗認(rèn)證是 為 Windows 域用戶 設(shè)計(jì)的 。如果用戶無(wú)權(quán)訪問(wèn)特定的資源，它將把拒絕存取信息 返 回到用戶。 視窗 是最 方便使用的 ，因?yàn)樗恍枰獙?xiě)任何代碼進(jìn)行驗(yàn)證。 passport 。 otherwise it sends an“access denied”error message back to the user. Fig. 1 Security flow of IIS and ASP. NET ASP. NET provides builtin support for user authentication through several authentication providers. [1,4] Th