ASP-NET中认证安全特征评述

ASP. NET 中认证平安特征评述Narcisio Tumushabe ,谭冠正(音译)(中南大学计算机科学与信息技术学院, 湖南长沙 410083)摘 要: 讨论了效劳应用时支持平安的 ASP. NET 认证特征,微软的互联网信息效劳( IIS) 和 ASP.NET 提供了平安模式,使 Web 开发者恰当地认证其使用者,并在应用过程中获得正确的平安之本. 三个层次的认证是基于表单的,身份证书和视窗认证. 综述文献仅限于上述三个领域.关 键 词: 表单; 身份证书; 视窗认证中图分类号: TP 393108 文献标识码: A 文章编号: 1000 - 1646 (2025) 03 - 0250 - 05平安是开发人员和应用程序架构师首要关注的问题。由于不同类型的网站有不同的平安需要，开发人员需要知道需要什么程度的平安运行，并为他们的程序选择适当的平安模式。有些网站发布的信息不来自用户，而是通过搜索引擎等广泛渠道来收集。另外一些网站，可能要收集用户的敏感信息，比方信用卡号码，这些网站需要非常严格的平安措施，以防止来自外部的恶意攻击。在 ASP . NET 应用程序的环境中平安的根本操作涉及三步即验证，授权和模拟。验证的过程中认证用户身份,允许或拒绝请求。这涉及到接受用户凭据〔如用户名和密码〕和凭证核对。经过身份验证，合法用户对资源的请求将得到满足。接下来一段时间，用户请求资源无需再进行身份验证，直到用户退出这个 WEB 应用程序。授权是给予用户访问特定资源的资格。模拟的过程，是使应用程序确认用户的身份，从而获得要求的其他资源。基于模拟的身份，请求资源将被授予或者拒绝。验证是 Web 应用程序的平安一个重要的特征。在 ASP.NET 中，验证表现在两个层次上，[2 ]首先， Internet 信息效劳〔 IIS 〕将执行必要的验证，然后把用户请求发送到 ASP.NET 中，如图 1 所描述的。ASP.NET 应用程序的 Web 效劳器根本是 IIS 。因此，每个 ASP.NET 应用程序可以继续利用 IIS 所提供的的平安性选项。当用户请求特定资源时，这一要求将发送到 IIS 。 IIS 验证用户的请求，然后把认证用户发送给 ASP.NET 工作进程。 ASP.NET 工作进程将决定是否模拟验证 IIS 所提供的用户。假如 Web.config 文件中的模仿配置是启用的， ASP.NET 工作进程将模拟验证使用者。否那么， ASP.NET 将自行验证用户身份。毕竟，决定用户是否有权访问这些资源。假如他们被允许，ASP.NET提供请求的效劳; 否者他将一个“ 拒绝登入〞的错误讯息传回给用户...