明輝手游網(wǎng)中心:是一個(gè)免費(fèi)提供流行視頻軟件教程、在線學(xué)習(xí)分享的學(xué)習(xí)平臺(tái)!

ASP.NET安全身份驗(yàn)證的完成

[摘要].NET平臺(tái)及其ASP+所提供的強(qiáng)大開發(fā)功能是每個(gè)程序員所不能忽視的,對(duì)某種語(yǔ)言的偏好不該影響選擇最具效率的開發(fā)工具。 而目前,ASP+確實(shí)提供了許多JSP所無(wú)法比擬的功能。 使用ASP+,你會(huì)真正感到使用語(yǔ)言的自由性,編程時(shí)在網(wǎng)頁(yè)上可看到編譯ASP+頁(yè)中C#等語(yǔ)言時(shí)的全部編譯信息,而且使用ASP...

.NET平臺(tái)及其ASP+所提供的強(qiáng)大開發(fā)功能是每個(gè)程序員所不能忽視的,對(duì)某種語(yǔ)言的偏好不該影響選擇最具效率的開發(fā)工具。 而目前,ASP+確實(shí)提供了許多JSP所無(wú)法比擬的功能。 
使用ASP+,你會(huì)真正感到使用語(yǔ)言的自由性,編程時(shí)在網(wǎng)頁(yè)上可看到編譯ASP+頁(yè)中C#等語(yǔ)言時(shí)的全部編譯信息,而且使用ASP+提供的數(shù)十種功能強(qiáng)大的服務(wù)器端控件,幾乎可以實(shí)現(xiàn)以前客戶端RAD開發(fā)工具所能實(shí)現(xiàn)的全部功能,ASP+可以直接方便地使用.NET中的XML技術(shù),使用幾個(gè)簡(jiǎn)單的函數(shù)就可以用XML替代一些數(shù)據(jù)庫(kù)或和其他程序交換信息。 
對(duì)于未來(lái),將有越來(lái)越多的語(yǔ)言支持ASP+的開發(fā),而富士通美國(guó)子公司已經(jīng)推出了Cobol for .NET,讓Cobol也可以開發(fā)ASP+應(yīng)用程序了。惟一遺憾的是,ASP+目前還不能跑在除Windows系列的其他平臺(tái)上,但這正是.NET正在做的事。 
基于上述優(yōu)點(diǎn),越來(lái)越多的Web應(yīng)用將會(huì)使用ASP+方式開發(fā),在具體實(shí)現(xiàn)如電子商務(wù)等應(yīng)用時(shí),必須重視各種安全性問題,此問題涉及操作系統(tǒng)、網(wǎng)絡(luò)管理及程序安全等眾多方面,限于篇幅,本文將介紹如何用ASP+的配置和程序?qū)崿F(xiàn)安全身份驗(yàn)證。 
ASP+的相關(guān)配置 
ASP+的配置方法較特別,它使用config.web這個(gè)XML類型的文件來(lái)存儲(chǔ)配置信息,你可用notepad或XML編輯器方便地修改其內(nèi)容,規(guī)定的設(shè)置方式是子目錄繼承或者覆蓋從父目錄得來(lái)的配置設(shè)定,就是說在root目錄下放了個(gè)config.web文件,那么任何下一級(jí)目錄將自動(dòng)繼承這個(gè)文件中的配置,假如某個(gè)子目錄需要另外的配置時(shí),我們可再另建一個(gè)config.web放在該子目錄下。這種配置管理方式對(duì)安裝你的應(yīng)用程序、配置的修改及安全管理都極為有利。 
ASP+提供了三種主要的身份驗(yàn)證方式即:Windows、Cookie和Passport,Windows是指使用Windows自身的安全管理方式,你可通過設(shè)置Windows的用戶及IIS等權(quán)限來(lái)保障安全,對(duì)于一些大應(yīng)用,使用此方法將非常復(fù)雜和煩瑣。Passport方式較為方便和安全,用戶只用一個(gè)用戶名和密碼可以訪問任何成員站,并且在注銷離開時(shí),所有Passport相關(guān)的信息都會(huì)清除,你可以在公共場(chǎng)所放心地使用它,相信Passport比較適合Internet的應(yīng)用。在企業(yè)級(jí)應(yīng)用中,使用Cookie方式和SSL、IP限制等一些網(wǎng)管技術(shù)同樣可以實(shí)現(xiàn)一定的安全性。 
下面介紹一下Cookie的配置: 
你需建一個(gè)如下內(nèi)容的config.web,并將它放在C:\inetpub\wwwroot\(IIS缺省目錄)下,對(duì)于系統(tǒng)安裝時(shí)已經(jīng)建立的config.web,一般在\WINNT\Microsoft.NET\Framework\v...目錄下。 
<configuration>
<security>
<authentication mode="Cookie">
<cookie decryptionkey="autogenerate" loginurl="/login.aspx" cookie=".ASPXAUTH" />
</authentication>
<authorization>
<deny users="?" /> 
</authorization> 
</security> 
</configuration> 
該配置文件聲明用Cookie方式驗(yàn)證,在你訪問該目錄及其子目錄下的aspx文件時(shí),如果你沒有認(rèn)證的Cookie,它就會(huì)重定向到login.aspx。如果你需要一個(gè)不需要身份認(rèn)證的目錄(可放用戶申請(qǐng)的程序)則可建一個(gè)如下的config.web并放在該目錄下: 
<configuration>
<security>
<authorization>
<allow users="*" />
</authorization>
</security> 
</configuration> 



程序設(shè)計(jì) 
你需在root目錄下建立Default.aspx和login.aspx這兩個(gè)ASP+程序。 
login.aspx程序內(nèi)容如下: 



<%@ Import Namespace="System.Web.Security" %>
<%@ Import Namespace="System.Data" %>
<%@ Import Namespace="System.Data.ADO" %>
<html>
<head>
<title>Login</title>
<script language="C#" runat=server Debug="true" >
void Login_Click(Object sender, EventArgs e) {
if(Page.IsValid)
{ ADODataReader dr;
// 連接數(shù)據(jù)庫(kù),用戶名和密碼放在ODBC連接的數(shù)據(jù)庫(kù)QCDB中的表Users中
ADOConnection cn = new ADOConnection("DSN=QCDB");
cn.Open();
ADOCommand cmdQuestion = new ADOCommand("SELECT Password FROM Users WHERE name = "" + YourName.Text + """, cn); 
//選擇相應(yīng)用戶信息
cmdQuestion.Execute(out dr); 
//建一個(gè)datareader得到SQL結(jié)果 
if(dr.Read()) //得到對(duì)應(yīng)的第一個(gè)行數(shù)據(jù)
 if(dr["Password"].ToString() == Password.Text)
 CookieAuthentication.RedirectFromLoginPage(YourName.Text, AbidingCookie.Checked);
 else//上面語(yǔ)句生成一個(gè)Cookie,如用戶選擇AbidingCookie,則永久保存Cookie
 Msg.Text = "密碼錯(cuò)誤"; 
 else
 Msg.Text = "用戶名不存在";
}
}
</script>
</head><center><body>
<ASP:Label id="Msg" ForeColor="red" Font-Name="Verdana";
Font-Size="18" runat=server />
<form runat=server>
<table><tr><td><ASP:label text="用戶名: " runat=server/></td>
<td><ASP:textbox id="YourName" runat=server /></td>
</tr><tr><td><ASP:label text="密碼:" runat=server/></td>
<td><ASP:textbox id="Password" TextMode="Password" runat=server /></td>
<td><ASP:button id="btnLogin" Text="確定" OnClick="Login_Click" runat=Server /></td>
<td> </td></tr><tr><td>希望下次不用輸入密碼</td>
<td><ASP:CheckBox id=AbidingCookie runat="server" /> </td>
<td></td></tr></td><td></td></tr></table>
</form></td> <td width="283" height="1" bgcolor="#F0F0F0"></td>
</tr></table></center></div><p></p></body>
</html> 
Default.aspx程序內(nèi)容如下: 
<%@ Page LANGUAGE="c#" %>
<html><head><title>歡迎來(lái)到.NET的世界</title>
<script runat=server>
private void Page_Load(Object Src, EventArgs E ) 
{ Welcome.InnerHtml = "祝賀你通過身份驗(yàn)證" + Context.User.Identity.Name;
} private void Signout_Click(Object sender, EventArgs E) 
{ CookieAuthentication.SignOut(); 
//按下SignOut按鍵清除原Cookie
Response.Redirect("login.aspx");
//讓用戶重輸入新用戶名、密碼
}
</script><body><center>
<h3><font face="Verdana">.NET身份驗(yàn)證系統(tǒng)提示你</font></h3>
<span id="Welcome" runat=server/><form runat=server>
<input type="submit" OnServerClick= "Signout_Click" Value="取消該登錄身份" runat="server"/><p> 
</form><p><a href="/adduser/">進(jìn)入管理室</a></p></center></body></html> 
具體執(zhí)行時(shí),當(dāng)一個(gè)未經(jīng)認(rèn)證的用戶瀏覽你的網(wǎng)站的.aspx文件時(shí)(注意,Cookie認(rèn)證只對(duì).aspx文件起作用),系統(tǒng)發(fā)現(xiàn)該用戶沒Cookie,于是將它重定向到login.aspx,當(dāng)用戶輸入正確的用戶名和密碼后,系統(tǒng)為該用戶生成一個(gè)Cookie并立刻自動(dòng)重定向到一開始該用戶要瀏覽的.aspx文件并執(zhí)行它,缺省的則定向到Default.aspx,上面提供的Default.aspx則提示你已經(jīng)通過身份認(rèn)證。 
總結(jié)
由于我們使用了Session跟蹤應(yīng)用程序訪問或會(huì)話期間特定的Web瀏覽器信息,帶有相應(yīng)的 cookie 的HTTP請(qǐng)求被認(rèn)為是來(lái)自同一Web瀏覽器,所以要防止被人使用Sniffer等方法非法截獲Cookie信息,你需要考慮使用SSL或其他安全的通訊鏈路加密方法。 
對(duì)于上述程序,你可以方便地在Table中加入用戶IP地址的信息,來(lái)驗(yàn)證Intranet用戶。由于Cookie就像一個(gè)身份證,為防止有人非法使用你的Cookie,應(yīng)該讓Cookie隨著瀏覽器的關(guān)閉一起清除。 
總之,使用Cookie的身份驗(yàn)證方法再結(jié)合各種加密手段以及操作系統(tǒng)完善的安全配置就可以為大多數(shù)需要安全認(rèn)證的應(yīng)用提供足夠的支持。