零基础学asp.net.2.0：第18章 asp.net 2.ppt

,安全性总是一个不容忽视的问题。,通过好多策略,如用户身份验证、授权、数据加密等许多方法,来提高应用程序安全性。,身份验证、成员和角色管理等经典的安全特性。,或者是应用系统程序。总会有人不断的在探测,是否存在安全漏洞。因此,网络并没有绝对的安全,应用程序也是一样。,要提供用户注册功能,那么就可以在站点中使用表单身份验证。无论是将数据存储在网站配置文件中、XML文件中或是数据库中。表单身份验证模式都会很好的支持。不过表单身份验证依赖于cookie,借助cookie来判断用户的身份。当启用了某一个表单的身份验证后,想要登录系统,必须在cookie中能找到其身份标识,否则就不能登录系统。,必须通过一些配置,来为应用程序启用表单验证。具体实现过程如下所示。,并做一些检验和事件处理,代码如下所示。(具体内容请参照书。),如果用户需要访问此页面,必须先通过身份验证。当程序检测到,来访用户的cookie中没有合法的身份标识,。完整的代码如下所示。(具体内容请参照书。),在使用Windows身份验证的情况下,程序会将IIS所提供的用户标识当作已经过身份验证的用户。在IIS中,已经提供了大量用于验证用户标识的身份验证机制,这其中包括了匿名身份验证、NTLM身份验证、base64编码身份验证、Kerberos身份验证、摘要式身份验证以及基于客户端证书的身份验证。如果所开发的系统是为企业内部网络提供服务,那么推荐使用Windows身份验证。,使用成员资格管理,可以验证Web应用程序的用户信息。它提供验证用户凭据、创建和修改成员资格用户。还可以管理用户设置(如密码和E-mail)。Forms身份验证,应用程序的任意位置中使用。而使用角色管理,可以对用户授权进行控制管理,从而为特定应用程序,来指定用户可以访问的资源。角色管理模型中,允许向角色分配用户,也可通过将用户分配到特定的角色。,,起到验证用户凭据并管理用户设置的作用。此类不能被继承。Membership类依赖于成员资格提供程序与数据源通信。它既可以独自使用,也可以与FormsAuthentication一起使用,来创建一个完整的网站用户身份验证系统。,可由改写成员资格系统,来使用不同的数据存储区,或使用带有不同架构的数据存储区。另外,还可以通过创建自定义提供程序,来对成员资格系统进行扩展,这样做可以在成员资格系统,与现有用户数据库之间创建一个接口。