编号：时间：2021年x月x日书山有路勤为径学海无涯苦作舟页码：ASP.NET中认证安全特征评述NarcisioTumushabe谭冠正(音译)(中南大学计算机科学与信息技术学院湖南长沙410083)摘要:讨论了服务应用时支持安全的ASP.NET认证特征微软的互联网信息服务(IIS)和ASP.NET提供了安全模式使Web开发者恰当地认证其使用者并在应用过程中获得正确的安全之本.三个层次的认证是基于表单的身份证书和视窗认证.综述文献仅限于上述三个领域.关键词:表单;身份证书;视窗认证中图分类号:TP393108文献标识码:A文章编号:1000-1646(2003)03-0250-05安全是开发人员和应用程序架构师首要关注的问题。由于不同类型的网站有不同的安全需要开发人员需要知道需要什么程度的安全运行并为他们的程序选择适当的安全模式。有些网站发布的信息不来自用户而是通过搜索引擎等广泛渠道来收集。另外一些网站可能要收集用户的敏感信息比如信用卡号码这些网站需要非常严格的安全措施以避免来自外部的恶意攻击。1asp.net安全的基本操作在ASP.NET应用程序的环境中安全的基本操作涉及三步即验证授权和模拟。验证的过程中认证用户身份允许或拒绝请求。这涉及到接受用户凭据（如用户名和密码）和凭证核对。经过身份验证合法用户对资源的请求将得到满足。接下来一段时间用户请求资源无需再进行身份验证直到用户退出这个WEB应用程序。授权是给予用户访问特定资源的资格。模拟的过程是使应用程序确认用户的身份从而获得要求的其他资源。基于模拟的身份请求资源将被授予或者拒绝。2ASP.NET的验证验证是Web应用程序的安全一个重要的特征。在ASP.NET中验证表现在两个层次上[2]首先Internet信息服务（IIS）将执行必要的验证然后把用户请求发送到ASP.NET中如图1所描述的。ASP.NET应用程序的Web服务器基本是IIS。因此每个ASP.NET应用程序可以继续利用IIS所提供的的安全性选项。当用户请求特定资源时这一要求将发送到IIS。IIS验证用户的请求然后把认证用户发送给ASP.NET工作进程。ASP.NET工作进程将决定是否模拟验证IIS所提供的用户。如果Web.config文件中的模仿配置是启用的ASP.NET工作进程将模拟验证使用者。否则ASP.NET将自行验证用户身份。毕竟ASP.NET决定用户是否有权访问这些资源。如果他们被允许ASP.NET提供请求的服务;否者他将一个“拒绝登入”的错误讯息传回给用户。图1IIS和ASP.NET的安全流程ASP.NET通过几种认证机制提供了内置的用户身份验证[1.4]它们是基于表单的身份验证应用程序使用自定义身份验证模式的Cookie支持来确保安全；身份证书应用程序使用微软的身份证书来身份验证身份证书是微软开发的一个Web单点登录技术还有视窗验证Web应用程序使用从集成视窗身份验证中获得的用户名单来验证用户。也有些应用程序不使用身份验证或自行开发验证机制。在这种情况下可以把ASP.NET中身份验证模式设置为关闭。本文将简要地涉及基于表单的身份证书和视窗认证。2.1基于表单的认证基于表单的认证验证是用定制逻辑执行来验证用户运用了Cookie而无需担心Session管理。这使开发人员获得更多的权限去指定哪些文件在网站上可获取和由何人获取并可以识别的登录页。[3]这一机制将自动重定向未验证用户到登录页并请他们提供适当的凭据（例如用户名/密码组合）。如果登录成功ASP.NET分配cookie给用户并重定向到他们原先请求的特定资源。此Cookie允许用户反复访问特定资源而不必重新执行登录机制。显示如下：图2表单认证流程在上图中首先用户请求资源。这一请求将先到达IIS由IIS进行用户身份验证的。如果IIS启用匿名访问或者用户已成功通过验证IIS会将把请求转到ASP.NET应用程序。ASP.NET中查看是否有有效的身份验证cookie附加请求中。如果有它意味着用户先前已通过验证。ASP.NET将执行授权检查。如果用户有访问这些资源的权限将被允许访问。否则返回登入失败的信息。如果提出的请求没有附带任何CookieASP.NET将重定向用户登录页面并要求用户进行身份验证。应用程序代码检查身份证书。如果身份验证通过ASP.NET将以附加验证的形式返回Cookie。如果失败了用户可以被重定向到登录页并告诉用户该用户名/密码无效。建立基于表单的认证一般来说建立基于表单的认证涉及4个步骤[2]：（一）启用匿名访问IIS（二）配置Web.config文件中