ASP.NET Web 应用的安全性.ppt

DEV 337:ASP.NET Web 应用的安全性,日程,概述验证(Authentication)授权(Authorization)基于角色的安全性管理和规划安全的策略,安全服务,ASP.NET 支持验证和授权可扩展和定制透明的认证方案简单的部署模型支持可声明的和强制性的授权支持应用级的安全性,进程标识,Windows 2000:默认是 ASPNET(本地账号)可以按照 System 或者由 设置的账号Windows.NET Server使用 IIS 6 进程模型默认是 NetworkService可配置应用池，标识好也可配置,请求标识,模拟(Impersonation)按照请求标识的安全设置运行可在 ASP.NET 中配置可以设置为与 ASP 兼容,检查线程标识,Dim curr As WindowsIdentitycurr=WindowsIdentity.GetCurrent()/thread acct name is in curr.Name/token in curr.Token(as type IntPtr),配置标识,demo,Configuration Lockdown,通过配置文件进行管理控制用来设置安全策略或者限制应用程序行为,Configuration Lockdown,demo,ASP.NET 请求的处理过程,Native Code,.NET Code,Application,Host(IIS),ASP.NETPage,ASP.NET Runtime,ASP.NETService,HTTPHandler,HTTP Module,Global.asax,HTTP Module,HttpContext,每个请求事件:BeginRequestAuthenticateRequestAuthorizeRequestResolveRequestCacheAcquireRequestStatePreRequestHandlerExecutePostRequestHandlerExecuteReleaseRequestStateUpdateRequestCacheEndRequest,日程,概述验证(Authentication)授权(Authorization)基于角色的安全性管理和规划安全的策略,验证,ASP.NET 实际上是 ISAPI 扩展仅仅处理可以识别的内容Windows 验证(通过 IIS)基本,摘要,NTLM,Kerberos,认证支持充分利用了平台的验证方式基于表单(Cookie)的验证应用程序的安全性验证支持 Microsoft Passport 验证方式定制的验证方式,Microsoft Passport,在成员站点中间，只需要一次登陆集成到了 ASP.NET 验证方式需要安装 Passport SDKASP.NET 处理:IPassportManager,IPassportManager2,IPassportCrypt 接口详细信息 http:/IIS 6 直接支持 Passport,基于表单的验证,容易实现ASP.NET 提供了重定向步骤配置 IIS 允许匿名用户(默认方式)使用 SSL!配置 ASP.NET cookie 验证编写你自己的登陆页面,表单验证的工作方式,Web Browser,IIS/ASP.NET,配置表单验证,配置表单验证,部分配置不同的键值来区分不同的应用必须在Web farms之间同步,基于表单验证,demo,定制的Web验证,处理 AuthenticateRequest 事件应用程序级别(global.asax)或者Http Module(implement IHttpModule)适用于:定制 SOAP 验证例如：应用程序根据 SOAP 信头定义Schema对不支持cookies的移动设备设置表单验证方式定制其他的验证方式,日程,概述验证(Authentication)授权(Authorization)基于角色的安全性管理和规划安全的策略,授权的策略,Windows 安全和 ACLsWindows 验证需要检查 ACLs独立的模拟(Impersonate)模式COM+角色URL 授权定制授权Windows.NET AuthZ 框架明确的 强制的/可声明 的检查,使用 URL 授权,示例:允许“Admins”或者“WebServiceUsers”然后拒绝所有其他用户示例:拒绝匿名用户,使用授权,demo,定制Web授权,处理 AuthorizeRequest 事件应用程序级(global.asax)或者Http Module(实现 IHttpModule)适用于:实现按照请求计算的记账系统根据商业规则，限制访问根据动态行为（例如：按天计算的访问限制等）限制访问,定制授权,demo,日程,概述验证(Authentication授权(Authorization)基于角色的安全性管理和规划安全的策略,使用定制的角色,应用程序定义角色策略:定义 Windows/AD 组并且使用 WindowsPrincipal使用 GenericPrincipal 或者 IPrincipal,/System.Security.Principal.IPrincipalpublic interface IPrincipal IIdentity get;bool IsInRole(string role);,Web 应用:定制角色,处理验证事件将 HttpContext.User 代替为定制的 IPrincipal 或者 GenericPrincipal,public voidWindowsAuthentication_OnAuthenticate(Object src,WindowsAuthenticationEvent e)/replace HttpContext Principal e.Context.User=new MyPrincipal(e.Identity);,基于角色的安全性,demo,日程,概述验证(Authentication授权(Authorization)基于角色的安全性管理和规划安全的策略,管理和规划安全的策略,可能的话，尽量不用需要加密的东西例如使用集成的验证方式Layer protection strategiesCombine minimal ACLs with DPAPI(CryptProtectData/CryptUnprotectData)从ServicedComponent 继承的类使用 COM+企业服务来运行有固定标识的代码实现 IConfigurationSectionHandler 以在配置文件中存储需要加密的信息,在Web应用中保存秘密信息,demo,如果您有任何问题，请加入微软中文新闻组继续讨论,加入微软中文新闻组http:/,2002 Microsoft Corporation.All rights reserved.This presentation is for informational purposes only.Microsoft makes no warranties,express or implied,in this summary.,