博客园-陋室铭

使用 .NET Framework 2.0 在您的应用程序中支持证书(转)

宏宇 — Fri, 25 Jul 2008 07:03:00 GMT

Dominick Baier

本文讨论:

Windows 证书存储区
.NET 中的证书类
验证、SSL、Web 服务和代码签名
对数据进行签名和加密

本文使用了以下技术:
.NET Framework 2.0

如何获得一个证书
Windows 证书存储区
使用证书
访问证书
显示证书详细信息和证书选择器
验证证书
SSL 支持
Web 服务安全性
安全策略和代码签名
ClickOnce 清单
对数据进行签名和加密
解密数据和验证签名
综述

证书在 Microsoft® .NET Framework 中应用十分广泛，从安全通信到代码签名再到安全策略。.NET Framework 2.0 改进了对证书的支持，为使用证书进行符合标准的加密操作添加了一个全新的命名空间。在本文中，我将讨论证书和 Windows® 证书存储区的背景知识。同时我还会为您介绍证书 API 的使用方法和 Framework 如何使用这些 API 实现安全功能。

“证书”实际上是一种 ASN.1 (Abstract Syntax Notation One) 编码的文件，它包含一个公钥和其他有关该密钥及其所有者的信息。另外，证书具有有效期，并通过另一密钥（所谓的颁发者）进行签名，该密钥能保证这些属性的真实性，最重要的是，保证公钥本身的真实性。您可以将 ASN.1 看成是一种二进制 XML。与 XML 一样，它也具有编码规则、强类型和标记；但是，这些都是二进制值，通常没有可打印字符与之对应。

要使这种文件能够在系统之间互换，需要一种标准的格式。这种标准格式即 X.509（当前为第 3 版），RFC 3280 (tools.ietf.org/html/rfc3280) 中对其进行了描述。虽然 X.509 并未规定证书中嵌入的密钥类型，但 RSA 算法是目前使用最为普遍的非对称加密算法。

首先让我们回顾一下这种算法的历史由来。“RSA”这一名称是发明该算法的三个人的姓氏首字母缩写：Ron Rivest、Adi Shamir 和 Len Adleman。他们成立了一家名为 RSA Security 的公司，该公司发布了几个名为公钥加密标准 (PKCS) 的标准文档。这些文档对加密技术的几个方面进行了介绍。

其中最流行的文档之一，即 PKCS #7，为已签名和加密的数据定义了一种名为加密消息语法 (CMS) 的二进制格式。目前 CMS 广泛应用于众多流行的安全协议，其中包括安全套接字层 (SSL) 和安全多用途 Internet 邮件扩展 (S/MIME)。由于它是一种标准，因此当应用程序需要在几方之间交换已签名和加密的数据时，它也是一种可供选择的格式。您可以从 RSA Laboratories 网站 (www.rsasecurity.com/rsalabs/node.asp?id=2124) 获得这些 PKCS 文档。

如何获得一个证书

目前有几种方法可以获取证书。在交换文件时，证书通常以两种格式之一出现。扩展名为 .cer 的文件是采用 X.509v3 格式的已签名 ASN.1 文件。这些文件中包含着我之前提到的一个公钥和额外的信息。您要将这些文件中包含的内容提供给业务合作伙伴或朋友，以便他们能够使用公钥为您加密数据。

此外，您可能会遇到扩展名为 .pfx（个人信息交换，Personal Information Exchange）的文件。.pfx 文件包含一个证书和与之对应的私钥（PKCS #12 标准对该格式有所说明）。这类文件是高度敏感的，通常用于导入服务器上的密钥对或用于备份目的。在导出密钥对时，Windows 提供用密码加密 .pfx 文件；而在导入密钥对时，您必须再次提供此密码方可导入。

您还可以生成自己的证书。证书的生成方式通常取决于其使用方式。在对等方身份不明的常规 Internet 环境下，您通常要向某个商业证书颁发机构 (CA) 申请证书。该方法的优点在于这些已知的 CA 已经得到 Windows 和其他任何支持证书及 SSL 的 OS（包括浏览器）的信任。因此不必进行 CA 密钥的交换。

对于 B2B 和 Intranet 环境，您可以使用内部 CA。Windows 2000 和 Windows Server® 2003 中包含了证书服务。配合 Active Directory® 一起使用，此功能允许您在组织内轻松地分发证书。（稍后我将介绍如何从私有 CA 申请证书。）

在开发过程中，有时您可能会发现，刚才提到的方法不起作用了。例如，如果您出于测试的需要希望很快获得一个证书，可以使用 makecert.exe。该工具包随附于 .NET Framework SDK 中，能够生成证书和密钥对。在 IIS 资源工具包中也有一个与之类似的名为 selfssl.exe 的工具。它专门用于创建 SSL 密钥对，而且使用这种密钥，只需一个步骤即可对 IIS 进行配置。

Windows 证书存储区

证书和与之对应的私钥可存储在各种设备上，例如硬盘、智能卡和 USB 令牌。Windows 提供了一个名为证书存储区的抽象层，用于统一证书的访问方式，不管这些证书存储在何处。只要硬件设备具有 Windows 支持的加密服务提供程序 (CSP)，就可以使用证书存储区 API 访问其上存储的数据。

证书存储区位于用户配置文件的深处。这样就可以对特定帐户的密钥使用 ACL。每个存储区被划分为若干个容器。例如，其中有一个名为 Personal 的容器，您可以将自己的证书（具有关联私钥的证书）存储在其中。Trusted Root Certification Authorities 容器包含了所有您信任的 CA 的证书。Other People 容器则保存着与您进行安全通信的人员的证书。此外还有其他一些证书。访问证书存储区最简单方法是运行 certmgr.msc。

另外还有一个供 Windows 计算机帐户（NETWORK、LOCAL SERVICE 和 LOCAL SYSTEM）使用的计算机范围的存储区，如果您希望跨帐户共享证书或密钥，可以使用该存储区。 ASP.NET 应用程序总是使用计算机存储区；而对于桌面应用程序，证书通常安装在用户存储区。

只有管理员才能对计算机存储区和服务帐户存储区进行管理。要实现这一目的，您必须启动 Microsoft 管理控制台 (mmc.exe) 并添加“证书”管理单元，从中可以选择要管理的存储区。图 1 显示了 MMC 管理单元的一个屏幕快照。

0) this.src=small; if (current.indexOf(small) > 0)this.src=large;" alt="" src="http://i.msdn.microsoft.com/cc163454.certificatesfig01.gif">

图 1 “证书”MMC 管理单元 (单击该图像获得较大视图)

除了可以导入、导出和搜索证书外，您还可以通过管理单元从内部企业 CA 申请证书。只需右键单击 Personal 容器并选择 All Tasks | Request Certificate。本地计算机会随后生成一个 RSA 密钥对，并将公钥部分发送给 CA 以进行签名。Windows 将已签名的证书添加到证书存储区，并将对应的私钥添加到密钥容器。证书通过存储属性被链接到密钥容器。

对于对应帐户或 LOCAL SYSTEM，私钥容器受到 ACL 的严密保护。当您要从 ASP.NET 或其他用户帐户访问计算机配置文件中存储的密钥时，这就成为一个问题。为此我编写了一个工具，您可以用它修改容器文件的 ACL （可从 www.leastprivilege.com/HowToGetToThePrivateKeyFileFromACertificate.aspx 下载该工具）。

商业 CA 和 Windows CA 还为申请证书提供了 Web 界面。通常在这些时候，由 Internet Explorer® 中的 ActiveX® 控件生成密钥并将其导入当前用户的存储区中。按照惯例，当您想指定某个证书可以由某个用户或服务访问时，有以下两种选择：一是将该证书导入该用户的存储区，二是在以该用户身份登录时申请证书。

使用证书

证书可用于 .NET Framework 中的各个位置，而且在某种程度上此功能依赖于 System.Security.X509Certificates 命名空间中的 X509Certificate 类。如果您更仔细地观察，还会发现证书类是以 2 结尾。这是因为 .NET Framework 1.x 具有一个名为 X509Certificate 的 X.509 证书表示形式。该类的功能有限，而且不支持加密操作。2.0 版中新添加了一个名为 X509Certificate2 的类。该类派生自 X509Certificate，同时添加了许多功能。您可以根据需要在二者之间来回转换，但无论何时都应尽可能使用最新版本。

访问证书

您可以直接从文件系统检索证书。但更好的办法是从证书存储区进行检索。要从一个 .cer 文件创建一个 X509Certificate2 实例，只需将文件名传递给构造函数即可：

复制代码

X509Certificate2 cert1 = new X509Certificate2("alice.cer");

您也可以从 .pfx 文件加载证书。但是，如前所述，.pfx 文件可以通过设置密码加以保护，因此您应当将该密码以 SecureString 的形式提供给他人。SecureString 在内部对密码进行加密，并尽可能降低密码在内存、页面文件和崩溃转储期间的暴露几率。因此，您每次只能向字符串添加一个（值类型）字符。如果要从控制台要求用户提供密码，那么图 2 中的代码是非常有用的，这些代码可禁用控制台回显并返回 SecureString。

Figure 2 从控制台申请密码

复制代码

private SecureString GetSecureStringFromConsole() { SecureString password = new SecureString(); Console.Write("Enter Password: "); while (true) { ConsoleKeyInfo cki = Console.ReadKey(true); if (cki.Key == ConsoleKey.Enter) break; else if (cki.Key == ConsoleKey.Escape) { password.Dispose(); return null; } else if (cki.Key == ConsoleKey.Backspace) { if (password.Length != 0) password.RemoveAt(password.Length - 1); } else password.AppendChar(cki.KeyChar); } return password; }

在“使用 .NET Framework 2.0 进行加密管理”（可从 msdn.microsoft.com/library/en-us/dnnetsec/html/credmgmt.asp 获得）一文中，Kenny Kerr 谈到了将常见 Windows 凭据对话框的结果转换为 SecureString 的代码。不管您以何种方式获得 SecureString，它都可以随后被传递到 X509Certificate2 构造函数，以加载 .pfx 文件，如下所示：

复制代码

X509Certificate2 cert2 = new X509Certificate2("alice.pfx", password);

要访问 Windows 证书存储区，请使用 X509Store 类。在其构造函数中，您要提供存储区位置（当前用户或计算机）和存储区名称。可以使用字符串或 StoreName 枚举来指定要打开的容器。注意，内部名称并不总是与 MMC 管理单元中找到的名称匹配。Personal 容器映射到名称 My，而 Other People 则变为 AddressBook。

获得有效的 X509Store 实例后，就可以搜索、检索、删除和添加证书。除非在部署情况下，否则使用最为频繁的恐怕要数搜索功能。您可以按各种条件搜索证书，其中包括使用者名称、序列号、指纹、颁发者和有效期。如果以编程方式从存储区检索应用程序中的证书，则应当使用唯一的属性，例如接收者密钥标识符。指纹虽然也是唯一的，但要记住，它是证书的一个 SHA-1 哈希值，在诸如续订证书时会发生改变。图 3 中的代码显示了一种搜索证书的常规方法。

Figure 3 搜索证书

复制代码

static void Main(string[] args) { // search for the subject key id X509Certificate2 cert = FindCertificate( StoreLocation.CurrentUser, StoreName.My, X509FindType.FindBySubjectKeyIdentifier, "21f2bf447298e83056a69eb02ebe9085ed97f10a"); } static X509Certificate2 FindCertificate( StoreLocation location, StoreName name, X509FindType findType, string findValue) { X509Store store = new X509Store(name, location); try { // create and open store for read-only access store.Open(OpenFlags.ReadOnly); // search store X509Certificate2Collection col = store.Certificates.Find( findType, findValue, true); // return first certificate found return col[0]; } // always close the store finally { store.Close(); } }

在获得 X509 Certificate2 的一个实例后，可以检查证书的各个属性（如使用者名称、到期日期、颁发者和友好名称）。HasPrivateKey 属性会告知您是否存在关联私钥。PrivateKey 和 PublicKey 属性将对应密钥作为一个 RSACryptoServiceProvider 实例返回。

要导入证书，请对 X509Store 实例调用 Add 方法。当存储区的构造函数中不存在您所指定的存储区名称时，就会创建一个新容器。以下说明了如何将名为 alice.cer 的文件中的一个证书导入到名为 Test 的新容器中：

复制代码

static void ImportCert() { X509Certificate2 cert = new X509Certificate2("alice.cer"); X509Store store = new X509Store("Test", StoreLocation.CurrentUser); try { store.Open(OpenFlags.ReadWrite); store.Add(cert); } finally { store.Close(); } }

显示证书详细信息和证书选择器

Windows 提供了两个标准对话框对证书进行操作：其中一个对话框用于显示证书的详细信息（各个属性和证书路径），另一个则供用户从列表中选择证书。您可以使用 X509Certificate2UI 类的两个静态方法访问这两个对话框：SelectFromCollection 和 DisplayCertificate。

要显示证书列表，必须填充 X509Certificate2Collection 并将其传递给 SelectFromCollection。让用户从存储区内的个人证书之一进行选择是很常见的。为此，只需传入一个已打开的 X509Store 的 Certificates 属性即可。您还可以控制对话框标题、消息以及是否允许多个选择。DisplayCertificate 方法显示的对话框与在 Windows 资源管理器中双击 .cer 文件时看到的对话框相同。图 4 显示了选择证书所用的对话框，图 5 提供相应的代码。

Figure 5 用于选择证书的代码

复制代码

private static X509Certificate2 PickCertificate( StoreLocation location, StoreName name) { X509Store store = new X509Store(name, location); try { store.Open(OpenFlags.ReadOnly); // pick a certificate from the store X509Certificate2 cert = X509Certificate2UI.SelectFromCollection( store.Certificates, "Caption", "Message", X509SelectionFlag.SingleSelection)[0]; // show certificate details dialog X509Certificate2UI.DisplayCertificate(cert); return cert; } finally { store.Close(); } }

0) this.src=small; if (current.indexOf(small) > 0)this.src=large;" alt="" src="http://i.msdn.microsoft.com/cc163454.certificatesfig04.gif">
图 4 用于选择证书的对话框 (单击该图像获得较大视图)

验证证书

验证证书时需要考虑几个条件，尤其是颁发方（通常仅信任可信 CA 列表中的 CA 所颁发的证书）及其当前有效性（证书可能会失效，例如当过期或者被颁发证书的 CA 吊销时）。X509Chain 类可以用来检查这些不同属性。使用该类，您可以为有效性检查指定策略，例如，可以要求一个受信任根 CA 或指定是否进行联机检查或检查本地吊销列表。如果需要对用于数据签名的证书进行检查，则在计算签名时检查证书是否有效就变得很重要；为此，X509Chain 允许更改验证时间。

构造策略后，可以调用 Build 方法来获取有关 ChainStatus 属性验证结果的信息。如果出现多个验证错误，您可以循环访问 ChainElement 集合以获取更多详细信息。图 6 显示了如何根据脱机和联机吊销列表对证书及其颁发者执行严格的验证。

Figure 6 严格的证书验证

复制代码

static void ValidateCert(X509Certificate2 cert) { X509Chain chain = new X509Chain(); // check entire chain for revocation chain.ChainPolicy.RevocationFlag = X509RevocationFlag.EntireChain; // check online and offline revocation lists chain.ChainPolicy.RevocationMode = X509RevocationMode.Online | X509RevocationMode.Offline; // timeout for online revocation list chain.ChainPolicy.UrlRetrievalTimeout = new TimeSpan(0, 0, 30); // no exceptions, check all properties chain.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag; // modify time of verification //chain.ChainPolicy.VerificationTime = new DateTime(1999, 1, 1); chain.Build(cert); if (chain.ChainStatus.Length != 0) Console.WriteLine(chain.ChainStatus[0].Status); }

SSL 支持

SSL 身份验证协议依赖于证书。.NET Framework 中对 SSL 的支持包含两个部分。HTTP 上的 SSL 这种特殊情况（但使用最为广泛）由 HttpWebRequest 类（它最终还可用于 Web 服务客户端代理）实现。要启用 SSL，除了要指定一个使用 Https: 协议的 URL 外，不必执行任何特殊操作。

当连接到一个受 SSL 保护的终结点时，会在客户端上对服务器证书进行验证。如果验证失败，连接会根据默认设置立即关闭。您可以回调一个名为 ServicePointManager 的类来重写该行为。每当 HTTP 客户端的堆栈进行证书验证时，都会首先检查是否可以回调；如果可以，则执行您的代码。要挂接该回调，您必须提供类型 RemoteCertificateValidationCallback 的一个委托：

复制代码

// override default certificate policy // (for example, for testing purposes) ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback(VerifyServerCertificate);

在回调中，您会获得服务器证书、一个错误代码和一个传入的链对象，然后可以执行自己的检查并返回 true 或 false。如果出现诸如证书在开发或测试期间就已过期的情况，那么关闭其中某项检查是有好处的。另一方面，这样做还可以执行比默认更为严格的验证策略。图 7 提供了一个验证回调的示例。

Figure 7 验证回调

复制代码

private bool VerifyServerCertificate( object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors sslPolicyErrors) { if (sslPolicyErrors == SslPolicyErrors.None) return true; foreach (X509ChainStatus s in chain.ChainStatus) { // allows expired certificates if (string.Equals(s.Status.ToString(), "NotTimeValid", StringComparison.OrdinalIgnoreCase)) return true; } return false; }

SSL 还支持使用证书对客户端进行身份验证。如果您要访问的网站或服务要求提供客户端证书，那么 Web 服务客户端代理和 HttpWebRequest 都可提供 X509Certicate 类型的 ClientCertificates 属性：

复制代码

proxy.Url = "https://server/app/service.asmx"; proxy.ClientCertificates.Add( PickCertificate(...));

此外，.NET Framework 2.0 还引入了一个名为 SslStream 的新类。该类允许您在任何流的顶部设置 SSL 层，而不仅限于 HTTP，从而可以对基于套接字的自定义协议启用 SSL。SslStream 将标准 .NET 证书支持应用于各个方面，例如，使用我所讨论的验证回调机制：

复制代码

public SslStream(Stream innerStream, bool leaveInnerStreamOpen, RemoteCertificateValidationCallback ValidationCallback) {...}

要使用 SslStream 启动 SSL 身份验证，请将 X509Certificate 传递给其 AuthenticateAsServer 方法：

复制代码

ssl.AuthenticateAsServer(PickCertificate(...));

Web 服务安全性

WS 安全性标准使用证书来指定客户端和服务器的身份验证并确保通信安全。诸如 .NET Framework 的 Web 服务增强 (WSE) 的各种工具包以及诸如 Windows Communication Foundation 的各项技术都对此提供了完全的支持。同样，最终还是要通过代码或配置来提供证书。以下代码段说明了如何使用 WSE3 向 Web 服务代理添加一个客户端证书：

复制代码

X509SecurityToken token = new X509SecurityToken(PickCertificate(...)); proxy.RequestSoapContext.Security.Tokens.Add(token);

对于 Windows Communication Foundation，通常要引用配置文件中的证书存储区（参见图 8）。如您所见，所有配置属性都直接映射到在前面代码中使用的枚举。

Figure 8 在 WCF 中提供证书引用

复制代码

安全策略和代码签名

证书还应用于 Authenticode® 代码签名。通过对二进制文件进行签名，您可以添加有关发布者的信息，并确保签名完成后该签名文件能得到可靠验证。.NET Framework SDK 中的 signtool.exe 工具可用于对 .exe 文件和 .dll 文件进行签名。签名后，使用 Windows 资源管理器中的属性对话框验证签名并查看证书。注意，如果要同时使用 Authenticode 签名和强名称签名，需要首先应用强名称签名。此外，在加载时，Authenticode 签名的程序集可能会出现延迟。如果被签名位置为可执行文件的入口点，则延迟会导致应用程序的启动时间延长。

已签名文件还可用于安全策略。使用软件限制策略，您可以根据签名或缺少签名来限制非托管可执行文件的执行（请参阅 microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx）。而且 .NET Framework 代码访问安全 (CAS) 策略可以根据发行者证书来支持代码组。

要创建一个 CAS 策略，请根据发行者成员条件使用 mscorcfg.msc 创建一个新的代码组。然后将一个权限集分配给由该发行者签名的所有应用程序（参见图 9）。

0) this.src=small; if (current.indexOf(small) > 0)this.src=large;" alt="" src="http://i.msdn.microsoft.com/cc163454.certificatesfig09.gif">
图 9 将权限分配给发行者 (单击该图像获得较大视图)

ClickOnce 清单

另一种将证书用于发行者信息的技术是 ClickOnce。在发布一个 ClickOnce 应用程序时，您必须对部署和应用程序清单进行签名。这会再次将发行者信息添加到应用程序，并确保清单中的敏感信息只有在签名失效的情况下才能被修改（如安全策略和应用程序依赖项）。在安装过程中，ClickOnce 使客户端能够使用发行者信息，以便客户可以对应用程序的可信性做出明智的决策。根据证书及其验证结果的不同，ClickOnce 安装程序还使用不同的可视化提示。图 10 显示了 Visual Studio® 清单签名对话框。

0) this.src=small; if (current.indexOf(small) > 0)this.src=large;" alt="" src="http://i.msdn.microsoft.com/cc163454.certificatesfig10.gif">
图 10 Visutal Studio 清单签名对话框 (单击该图像获得较大视图)

对数据进行签名和加密

到目前为止，我主要介绍了与证书有关的基础 API 以及其他技术如何使用这些 API。现在我想与大家讨论一下加密操作（如使用证书对数据加密和签名）和如何实现 .NET Framework 2.0 中新发现的 PKCS #7。

数据的保护始终分为两个步骤。首先，对数据进行签名以防止其被篡改。然后，对数据进行加密以防止其被泄漏。但是，在使用 PKCS #7 类执行任何加密操作之前，都必须先将数据包装在一个 ContentInfo 对象中，表示为一个 CMS 数据结构。数据将从这里转换为已签名或加密的数据，分别由 SignedCms 和 EnvelopedCms 类来表示。

从技术上讲，数字签名是对随后使用私钥加密的数据的哈希。这意味着您需要一个含有关联私钥或 .pfx 文件的证书。您可以根据这种证书创建一个代表数据签名者的 CmsSigner 对象。接着 SignedCms 类会对签名进行计算并输出一个符合 PKCS #7 和 CMS 的字节数组。图 11 显示了对应的代码。已编码的字节数组包含了您的数据、签名和用于对数据签名的证书。

Figure 11 输出符合 CMS 的字节数组

复制代码

byte[] Sign(byte[] data, X509Certificate2 signingCert) { // create ContentInfo ContentInfo content = new ContentInfo(data); // SignedCms represents signed data SignedCms signedMessage = new SignedCms(content); // create a signer CmsSigner signer = new CmsSigner(signingCert); // sign the data signedMessage.ComputeSignature(signer); // create PKCS #7 byte array byte[] signedBytes = signedMessage.Encode(); // return signed data return signedBytes; }

如果您要对大量数据签名，这样做可能没有什么；但如果要签名的数据量很小，则会增加一些开销。例如，使用 2KB 公钥对一个 10 字节数组进行签名会产生一个大约 2,400 字节的数组。如果您打算将已签名数据存储在（比如说）数据库中，那么请牢记这一点。另一种方法是使用所谓的分离签名。这种方法使您能够从签名中删除数据并单独进行存储。例如，您可以先将多个小数据段加以组合，然后统一对其进行签名。要创建一个分离签名，必须向 SignedCms 构造函数再传递一个 true 值，如图 12 所示。

Figure 12 创建分离签名

复制代码

byte[] SignDetached(byte[] data, X509Certificate2 signingCert) { // create ContentInfo ContentInfo content = new ContentInfo(data); // pass true to the constructor to indicate // we want to sign detached SignedCms signedMessage = new SignedCms(content, true); // these steps are the same CmsSigner signer = new CmsSigner(signingCert); signedMessage.ComputeSignature(signer); byte[] signedBytes = signedMessage.Encode(); // return only the signature (not the data) return signedBytes; }

对数据进行签名后，即可对其加密。您需要接收者的公钥才能对数据进行解密。通常这些公钥可以从 Other People 存储区获得，但如果不希望使用证书存储区，也可以从 .cer 文件获取公钥。这样一来，所有繁重工作就交给 EnvelopedCms 类来执行。您需要在 CmsRecipientCollection 中指定一个用于加密的公钥并将其传递到 Encrypt 方法中。与 SignedCms 一样，Encode 方法会在此处创建符合 PKCS #7 和 CMS 的字节数组（参见图 13）。

Figure 13 Encode 方法

复制代码

byte[] Encrypt(byte[] data, X509Certificate2 encryptingCert) { // create ContentInfo ContentInfo plainContent = new ContentInfo(data); // EnvelopedCms represents encrypted data EnvelopedCms encryptedData = new EnvelopedCms(plainContent); // add a recipient CmsRecipient recipient = new CmsRecipient(encryptingCert); // encrypt data with public key of recipient encryptedData.Encrypt(recipient); // create PKCS #7 byte array byte[] encryptedBytes = encryptedMessage.Encode(); // return encrypted data return encryptedBytes; }

EnvelopedCms 在内部生成一个随机会话密钥，数据借助该密钥被对称加密。随后再使用每个接收者的公钥对该会话密钥进行加密。这样一来，您就无需为每个收件人单独保留一份数据的加密版本。另外数据中还嵌入了一些额外的信息，使接收者能够从自己的证书存储区中找到匹配的私钥来解密数据。

解密数据和验证签名

接收端的整个解密过程是与加密过程是截然相反的。也就是说，首先要将数据解密，然后再验证签名和签名证书。在代码中，您必须首先调用 SignedCms 和 EnvelopedCms 类的 Decode 方法，将 CMS 字节数组反序列化为对象表示形式。然后再分别调用 Decrypt 和 CheckSignature。

该过程会查看已加密的数据包，以判断是否可以通过在证书存储区中搜索对应的私钥来解密会话密钥。随后再使用已解密的会话密钥对实际数据进行解密。您也可以提供一个解密期间要加以考虑的额外证书的列表，以防私钥并未存储在证书存储区：

复制代码

static byte[] Decrypt(byte[] data) { // create EnvelopedCms EnvelopedCms encryptedMessage = new EnvelopedCms(); // deserialize PKCS#7 byte array encryptedMessage.Decode(data); // decryt data encryptedMessage.Decrypt(); // return plain text data return encryptedMessage.ContentInfo.Content; }

验证数据的过程分为两步。首先，确保签名是有效的，也就是说数据是未被篡改的。然后检查签名证书。使用 SignedCms 类的 CheckSignature 方法可同时执行这两步操作在这种情况下，证书会比照默认的系统策略被验证。如果您希望对该过程进行更大程度的控制，可以使用 X509Chain 对象和代码（如图 6 所示）亲自进行检查。图 14 显示了用于检查和删除签名的代码，而图 15 提供了用于验证分离签名的代码。

Figure 15 分离签名验证

复制代码

static bool VerifyDetached(byte[] data, byte[] signature) { ContentInfo content = new ContentInfo(data); // pass true for detached SignedCms signedMessage = new SignedCms(content, true); // deserialize signature signedMessage.Decode(signature); try { // check if signature matches data // the certificate is also checked signedMessage.CheckSignature(false); return true; } catch { return false; } }

Figure 14 验证和删除签名

复制代码

byte[] VerifyAndRemoveSignature(byte[] data) { // create SignedCms SignedCms signedMessage = new SignedCms(); // deserialize PKCS #7 byte array signedMessage.Decode(data); // check signature // false checks signature and certificate // true only checks signature signedMessage.CheckSignature(false); // access signature certificates (if needed) foreach (SignerInfo signer in signedMessage.SignerInfos) { Console.WriteLine("Subject: {0}", signer.Certificate.Subject); } // return plain data without signature return signedMessage.ContentInfo.Content; }

综述

在使用安全策略或通信协议时，您会发现各种情况下都需要用到证书。本文介绍了用于检索和搜索证书的基础 API 以及如何利用这些 API 进行加密和数字签名。此外，我还为大家提供了一些更高级的应用程序服务的示例，这些服务要求您对 Windows 证书存储区以及公钥和私钥之间的关系有所了解。

本文的源代码可以从《MSDN® 杂志》网站下载，其中包括一个很小的支持对文件签名和加密的 Windows 窗体应用程序。该程序使用了本文所讨论的多种方法，如从不同的存储区选择证书以及使用加密和签名来保护/验证数据。

Dominick Baier是德国的一位独立安全咨询师。他帮助各家公司处理安全设计和体系结构、内容开发、渗透测试和代码审核等方面的问题。他还是 DevelopMentor 的安全课程负责人和开发人员安全 MVP，同时也是《Developing More-Secure Microsoft ASP.NET 2.0 Applications》（Microsoft Press，2006）一书的作者。他在 http://www.leastprivilege.com/ 开设了博客。

[新闻]腾讯CEO马化腾:中国互联网业准备再过冬

asp.net 使用timer 定时执行任务

宏宇 — Thu, 24 Jul 2008 09:08:00 GMT

protected void Application_Start(Object sender, EventArgs e)
  {
   System.Timers.Timer myTimer=new System.Timers.Timer(10000);
   myTimer.Elapsed+=new System.Timers.ElapsedEventHandler(examlpe);
   myTimer.AutoReset = true ;
   Application.Lock();
   Application["a"]= DateTime.Now.ToString();
   Application.UnLock();
   myTimer.Enabled = true ;
  }
  private void examlpe(object sender, ElapsedEventArgs e)
  {
   Application.Lock();
   Application["a"]= DateTime.Now.ToString();
   Application.UnLock();
  }

[新闻]F8 Keynote Speech[多图]

asp.net一个onclick的全过程(简单写一下)

宏宇 — Thu, 24 Jul 2008 07:13:00 GMT

1.ie页面初始化的时候把每个控件初始化位置（热区）
2.点击鼠标
3.如果点击时鼠标位置在IE的button位置那么IE认为这个button被点击(调系统API了)
4.触发客户端onclick事件并记录点击信息到viewstate等
5.submit到服务器

...........................http协议，IIS服务器，映射
6.request.form得到值，判断button是否被点击
7.如果被点击执行button.click()方法(这个方法应该是被封装了)
8.button.click()方法里面定义委托
9.然后委托给页面方法去做
10.ok!这就是一个完整的请求

其它控件事件应该和这个类似，可能有不对的地方，请指出

还有，其中点击发生的源头只有一个那就是客户端的人点了一下鼠标

asp.net中控件的生命周期以控件的事件原理！对于标准的Form控件要实现IPostBackDataHandler和IPostBackEventHandler.这两个都是在PostBack才会引发的动作。当我们第一次请求页面的时候是不会做这两个动作的。但是当我们在页面上执行Button的时候，就会Submit Form.(asp.net中Web Button默认为Submit)。这个时候在服务器端通过Request.Form就会知道客户端的哪一个Button提交的，如果该Button有事件的话就会执行事件！

[新闻]F8 Keynote Speech[多图]

HTTP消息头

宏宇 — Thu, 24 Jul 2008 02:14:00 GMT

但凡搞WEB开发的人都离不开HTTP（超文本传输协议），而要了解HTTP，除了HTML本身以外，还有一部分不可忽视的就是HTTP消息头。
做过Socket编程的人都知道，当我们设计一个通信协议时，“消息头/消息体”的分割方式是很常用的，消息头告诉对方这个消息是干什么的，消息体告诉对方怎么干。HTTP传输的消息也是这样规定的，每一个HTTP包都分为HTTP头和HTTP体两部分，后者是可选的，而前者是必须的。每当我们打开一个网页，在上面点击右键，选择“查看源文件”，这时看到的HTML代码就是HTTP的消息体，那么消息头又在哪呢？IE浏览器不让我们看到这部分，但我们可以通过截取数据包等方法看到它。
下面就来看一个简单的例子：
首先制作一个非常简单的网页，它的内容只有一行：
hello world
把它放到WEB服务器上，比如IIS，然后用IE浏览器请求这个页面（http://localhost:8080/simple.htm），当我们请求这个页面时，浏览器实际做了以下四项工作：
1 解析我们输入的地址，从中分解出协议名、主机名、端口、对象路径等部分，对于我们的这个地址，解析得到的结果如下：
协议名：http
主机名：localhost
端口：8080
对象路径：/simple.htm
2 把以上部分结合本机自己的信息，封装成一个HTTP请求数据包
3 使用TCP协议连接到主机的指定端口（localhost, 8080），并发送已封装好的数据包
4 等待服务器返回数据，并解析返回数据，最后显示出来
由截取到的数据包我们不难发现浏览器生成的HTTP数据包的内容如下：
GET /simple.htm HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/vnd.ms-excel, application/vnd.ms-powerpoint, application/msword, */*
Accept-Language: zh-cn
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)
Host: localhost:8080
Connection: Keep-Alive

为了显示清楚我把所有的回车的地方都加上了“”，注意最后还有一个空行加一个回车，这个空行正是HTTP规定的消息头和消息体的分界线，第一个空行以下的内容就是消息体，这个请求数据包是没有消息体的。
消息的第一行“GET”表示我们所使用的HTTP动作，其他可能的还有“POST”等，GET的消息没有消息体，而POST消息是有消息体的，消息体的内容就是要POST的数据。后面/simple.htm就是我们要请求的对象，之后HTTP1.1表示使用的是HTTP1.1协议。
第二行表示我们所用的浏览器能接受的Content-type，三四两行则是语言和编码信息，第五行显示出本机的相关系信息，包括浏览器类型、操作系统信息等，很多网站可以显示出你所使用的浏览器和操作系统版本，就是因为可以从这里获取到这些信息。
第六行表示我们所请求的主机和端口，第七行表示使用Keep-Alive方式，即数据传递完并不立即关闭连接。
服务器接收到这样的数据包以后会根据其内容做相应的处理，例如查找有没有“/simple.htm”这个对象，如果有，根据服务器的设置来决定如何处理，如果是HTM，则不需要什么复杂的处理，直接返回其内容即可。但在直接返回之前，还需要加上HTTP消息头。
服务器发回的完整HTTP消息如下：
HTTP/1.1 200 OK
Server: Microsoft-IIS/5.1
X-Powered-By: ASP.NET
Date: Fri, 03 Mar 2006 06:34:03 GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Fri, 03 Mar 2006 06:33:18 GMT
ETag: "5ca4f75b8c3ec61:9ee"
Content-Length: 37

hello world
同样，我用“”来表示回车。可以看到，这个消息也是用空行切分成消息头和消息体两部分，消息体的部分正是我们前面写好的HTML代码。
消息头第一行“HTTP/1.1”也是表示所使用的协议，后面的“200 OK”是HTTP返回代码，200就表示操作成功，还有其他常见的如404表示对象未找到，500表示服务器错误，403表示不能浏览目录等等。
第二行表示这个服务器使用的WEB服务器软件，这里是IIS 5.1。第三行是ASP.Net的一个附加提示，没什么实际用处。第四行是处理此请求的时间。第五行就是所返回的消息的content-type，浏览器会根据它来决定如何处理消息体里面的内容，例如这里是text/html，那么浏览器就会启用HTML解析器来处理它，如果是image/jpeg，那么就会使用JPEG的解码器来处理。
消息头最后一行“Content-Length”表示消息体的长度，从空行以后的内容算起，以字节为单位，浏览器接收到它所指定的字节数的内容以后就会认为这个消息已经被完整接收了。

[新闻]F8 Keynote Speech[多图]

VSS出项错误"Could not find the Visual SourceSafe Internet Web Service connection..."

宏宇 — Tue, 22 Jul 2008 10:26:00 GMT

Solution:
打开vs2005—>工具—>选项—>源代码管理—>当前源代码管理插件改为：Microsoft Visual SourceSafe 。

[新闻]奥运核心资源被分食搜狐央视网谁忽悠谁？

Eval和Bind的区别(不是其他人说的那个，突然发现的)

宏宇 — Thu, 03 Jul 2008 08:55:00 GMT

IList As = GetAs();
GridViewList.DataSource = As;
GridViewList.DataBind();

其中B是自定义的一个类是A类中的一个属性，Name是B类中的一个属性绑定GridViewList上的As是A类的一个泛型集合
下面的绑定Eval可以正确现实，但是换成Bind报错，为什么不清楚

public class A
{
    private B _b;
    public B B
    {
        get
        {
            if (_b == null)
            {
                _b = new B();
            }
            return _b;
        }
        set
        {
            _b = value;
        }
    }
}
public class B
{
    private string _name;
    public string Name
    {
        get
        {
            return _name;
        }
        set
        {
            _name = value;
        }
    }
}

[新闻]微软推新型搜索技术"BrowseRank"挑战谷歌

小技巧(DataTable的排序、检索、合并)

宏宇 — Thu, 03 Jul 2008 06:42:00 GMT

一、排序
1 获取DataTable的默认视图
2 对视图设置排序表达式
3 用排序后的视图导出的新DataTable替换就DataTable
(Asc升序可省略，多列排序用"，"隔开)

DataView dv = dt.DefaultView;
dv.Sort = "id Asc,name Desc";
dt = dv.ToTable();

二、检索
1 设置查询字符串
2 使用Select方法获取到所有满足条件的数据行对象数组
(多项查询条件间，用and隔开.模糊查询使用 like %)

DataRow[] matches = dt.Select("(id<'003') and (name='名字11') and (number like '%2007%')");
string strName = matches[0]["name"].ToString();

三、合并
假定有2个DataTable:Dt1 , Dt2。表结构一样
将Dt2接在Dt1后可采用此方法

dt1.Merge(dt2);

[新闻]微软推新型搜索技术"BrowseRank"挑战谷歌

委托的小例子

宏宇 — Mon, 30 Jun 2008 03:42:00 GMT

using System;
using System.Collections;
using System.Configuration;
using System.Data;
using System.Linq;
using System.Web;
using System.Web.Security;
using System.Web.UI;
using System.Web.UI.HtmlControls;
using System.Web.UI.WebControls;
using System.Web.UI.WebControls.WebParts;
using System.Xml.Linq;

public partial class Default2 : System.Web.UI.Page
{
    protected void Page_Load(object sender, EventArgs e)
    {
        a a1 = new a();
        a1.DelegateEvent+=new delegateExample(a1_DelegateEvent);
        a1.A1();

        b b1 = new b();
        b1.myDelegate = new delegateExample(a1_DelegateEvent);
        b1.B1();
    }
    public string a1_DelegateEvent(string Classname)
    {
        return Classname;
    }
}
public delegate string delegateExample(string Classname);
public class a
{
    public event delegateExample DelegateEvent;
    public string A1()
    {
        if (DelegateEvent != null)
        {
            DelegateEvent("a");
        }
        return "a1";
    }

}

public class b
{
    public delegateExample myDelegate;
    public string B1()
    {
        if (myDelegate != null)
        {
            myDelegate("b");
        }
        return "b1";
    }

}

[新闻]2008年7月26日IT博客精选

ASP.NET 2.0 中的客户端脚本

宏宇 — Fri, 20 Jun 2008 06:32:00 GMT

在使用 ASP.NET 的时候，我们仍然在许多情况下需要使用客户端脚本。以下是笔者根据自己的经验和一些粗浅的研究，对此作一个简要的总结。

　　一、在 HTML 里直接写脚本

　　这个方法是最简单的，直到如今我写网页的时候也几乎还是使用最多的一种方式。也许一些经常使用 RegisterClientScriptBlock 的人会觉得这种方法老土，不过在我看来，它除了可以减少编译时间以外，更主要的是可以减少代码量，可读性也要好一些，更或许还可以避免一些潜在的错误。

　　但是有些情况下，直接写的方法是很难完成要求的，比如说当脚本需要依赖我们在代码中动态生成的控件时，就必须要采用 Register 的方法了。

　　二、使用 Literal 控件写脚本

　　Literal 控件基本上就是写一段文字或代码，所以当然也可以写出客户端脚本来，实质上这个方法与第一个方法基本相同。以我个人来说，此种方法一般是用在写控件上。设想一个情况：我们需要根据某种条件来判断一批具有客户端脚本事件的控件是否显示，当然我们可以使用如 Panel 一类的容器，可是这些容器多半都要套一个 div 之类的东西，如果在某种情况下我们不希望这时出现 div 呢？当然或许是有更好更漂亮的办法，只是我都是简单地用一个 Literal 了事。^_^

　　三、使用 Register Script 函数

　　在 ASP.NET 1.x 中，Page 类提供了 RegisterClientScriptBlock、RegisterOnSubmitStatement 以及 RegisterStartupScript 函数，使得可以在代码中进行 ClientScript 绑定。不过到了 ASP.NET 2.0 当中，将这些函数统通移到了一个 ClientScriptManager 类中，并且还添加了类似的 RegisterClientScriptInclude 函数。在使用这个类的时候，我们可以通过 Page.ClientScript 来访问。下面介绍一下这几个函数的区别。

　　RegisterClientScriptBlock：这个函数将 ClientScript 加到页面顶部，一般是在紧接着

标签的地方。需要注意的是，这个函数中的脚本在写入页面甚至执行的时候，页面的其它元素可能还没有载入完毕，因此可能不能正确地调用页面中的元素。这个函数比较常见的应用是一些客户端事件处理函数。

　　RegisterClientScriptInclude：这个函数是 ASP.NET 2.0 新加入的，它一般用于将一个外部的 ClientScript 文件，比如一个 .js 文件链接入页面的时候。除此之外，它和 RegisterClientScriptBlock 基本一样，包括注意事项。

　　RegisterStartupScript：这个函数将 ClientScript 加入到页面的底部，由此带来的好处自然就是可以正确地处理对页面元素的引用了。注意这里的脚本将会在页面的 onload 事件之前执行。一般来说，这里的代码都是一次性执行的。最常见的比如说是希望页面载入完毕之后弹出一个消息提示框，又或者在一个有框架的页面中，需要在一个页面装载完毕之后更新另一个页面的情况。

　　RegisterOnSubmitStatement：这个函数则是将 ClientScript 与 onsubmit 事件绑定起来。

　　一般的，在使用 RegisterClientScriptBlock 定义了事件处理函数后，我们可以采用以下的代码将函数与控件关联起来，这里，假定我们已经定义了一个 confirmDelete 函数：

1string script = @"return confirmDelete();";
2btnDelete.Attributes.Add("onclick", script);
　　四、关于 RegisterClientScriptResource

　　除了前一节提过的四个函数外，ASP.NET 2.0 还增加了一个 RegisterClientScriptResource 函数。这个函数与前几个的差异在于：它联接的是经过编译成资源的脚本。比如如下一行

1Page.ClientScript.RegisterClientScriptResource(this.GetType(), "script_resource.js");
　　这里的 script_resource.js 必须是在服务端被编译进 assembly 中去，其方法是在服务端代码中添加如下一行

1[assembly: WebResource("script_resource.js", "application/x-javascript")]
　　如此一来之后，在生成的页面中，我们可以看到类似下面的代码（为了节省版面，我删减了 d 和 t 的长度）：

1
　　这里的 WebResource.axd 的请求被送到服务端之后，由一个特定的 axd HttpHandler 来处理以取得相关的资源（这里就是 script-resource.js 文件）。在后面我们还可以看到，这个技术还有着更广泛的应用。

[新闻]微软每年向Apache捐10万美元支持开源软件

小技巧（关闭浏览器提示）

宏宇 — Fri, 20 Jun 2008 06:21:00 GMT

[新闻]微软每年向Apache捐10万美元支持开源软件

关于IE缓存的解决方案(HTML,JSP,ASP,PHP,C#)（转）

宏宇 — Wed, 18 Jun 2008 10:14:00 GMT

禁止服务器端缓存：Response.Expires = 0 或禁用客户端缓存。

HTM网页

ASP网页

<%
Response.Expires = -1
Response.ExpiresAbsolute = Now() - 1
Response.cachecontrol = "no-cache"
%>

PHP网页

header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");
header("Cache-Control: no-cache, must-revalidate");
header("Pragma: no-cache");

JSP

response.setHeader("Pragma","No-Cache");
response.setHeader("Cache-Control","No-Cache");
response.setDateHeader("Expires", 0);

C#中禁止cache的方法！

Response.Buffer=true;
Response.ExpiresAbsolute=System.DateTime.Now.AddSeconds(-1);
Response.Expires=0;
Response.CacheControl="no-cache";

注：我是做C#的，C#中页面引用代码后，点击IE上的前进后退按钮，都会提交服务器的。

[新闻]AOL将关闭3个网站以降低成本集中发力广告

location.reload() 和 location.replace()的区别和应用

宏宇 — Wed, 18 Jun 2008 05:50:00 GMT

reload 方法，该方法强迫浏览器刷新当前页面。
语法： location.reload([bForceGet]) 参数： bForceGet，可选参数，默认为 false，从客户端缓存里取当前页。 true, 则以 GET 方式，从服务端取最新的页面, 相当于客户端点击 F5("刷新")

replace 方法，该方法通过指定URL替换当前缓存在历史里（客户端）的项目，因此当使用replace方法之后，你不能通过“前进”和“后退”来访问已经被替换的URL。
语法： location.replace(URL) 参数： URL

在实际应用的时候，重新刷新页面的时候，我们通常使用： location.reload() 或者是 history.go(0) 来做。因为这种做法就像是客户端点F5刷新页面，所以页面的method="post"的时候，会出现“网页过期”的提示。那是因为Session的安全保护机制。可以想到：当调用 location.reload() 方法的时候， aspx页面此时在服务端内存里已经存在，因此必定是 IsPostback 的。如果有这种应用：我们需要重新加载该页面，也就是说我们期望页面能够在服务端重新被创建，我们期望是 Not IsPostback 的。这里，location.replace() 就可以完成此任务。被replace的页面每次都在服务端重新生成。你可以这么写： location.replace(location.href)

[新闻]AOL将关闭3个网站以降低成本集中发力广告

在ASP.NET中使用Global.asax文件

宏宇 — Tue, 17 Jun 2008 03:21:00 GMT

Global.asax 文件，有时候叫做 ASP.NET 应用程序文件，提供了一种在一个中心位置响应应用程序级或模块级事件的方法。你可以使用这个文件实现应用程序安全性以及其它一些任务。下面让我们详细看一下如何在应用程序开发工作中使用这个文件。

　　概述

　　Global.asax 位于应用程序根目录下。虽然 Visual Studio .NET 会自动插入这个文件到所有的 ASP.NET 项目中，但是它实际上是一个可选文件。删除它不会出问题——当然是在你没有使用它的情况下。.asax 文件扩展名指出它是一个应用程序文件，而不是一个使用 aspx 的 ASP.NET 文件。

　　Global.asax 文件被配置为任何（通过 URL 的）直接 HTTP 请求都被自动拒绝，所以用户不能下载或查看其内容。ASP.NET 页面框架能够自动识别出对Global.asax 文件所做的任何更改。在 Global.asax 被更改后ASP.NET 页面框架会重新启动应用程序，包括关闭所有的浏览器会话，去除所有状态信息，并重新启动应用程序域。

　　编程

　　Global.asax 文件继承自HttpApplication 类，它维护一个HttpApplication 对象池，并在需要时将对象池中的对象分配给应用程序。Global.asax 文件包含以下事件：

　　·Application_Init：在应用程序被实例化或第一次被调用时，该事件被触发。对于所有的HttpApplication 对象实例，它都会被调用。

　　·Application_Disposed：在应用程序被销毁之前触发。这是清除以前所用资源的理想位置。

　　·Application_Error：当应用程序中遇到一个未处理的异常时，该事件被触发。

　　·Application_Start：在HttpApplication 类的第一个实例被创建时，该事件被触发。它允许你创建可以由所有HttpApplication 实例访问的对象。

　　·Application_End：在HttpApplication 类的最后一个实例被销毁时，该事件被触发。在一个应用程序的生命周期内它只被触发一次。

　　·Application_BeginRequest：在接收到一个应用程序请求时触发。对于一个请求来说，它是第一个被触发的事件，请求一般是用户输入的一个页面请求（URL）。

　　·Application_EndRequest：针对应用程序请求的最后一个事件。

　　·Application_PreRequestHandlerExecute：在 ASP.NET 页面框架开始执行诸如页面或 Web 服务之类的事件处理程序之前，该事件被触发。

　　·Application_PostRequestHandlerExecute：在 ASP.NET 页面框架结束执行一个事件处理程序时，该事件被触发。

　　·Applcation_PreSendRequestHeaders：在 ASP.NET 页面框架发送 HTTP 头给请求客户（浏览器）时，该事件被触发。

　　·Application_PreSendContent：在 ASP.NET 页面框架发送内容给请求客户（浏览器）时，该事件被触发。

　　·Application_AcquireRequestState：在 ASP.NET 页面框架得到与当前请求相关的当前状态（Session 状态）时，该事件被触发。

　　·Application_ReleaseRequestState：在 ASP.NET 页面框架执行完所有的事件处理程序时，该事件被触发。这将导致所有的状态模块保存它们当前的状态数据。

　　·Application_ResolveRequestCache：在 ASP.NET 页面框架完成一个授权请求时，该事件被触发。它允许缓存模块从缓存中为请求提供服务，从而绕过事件处理程序的执行。

　　·Application_UpdateRequestCache：在 ASP.NET 页面框架完成事件处理程序的执行时，该事件被触发，从而使缓存模块存储响应数据，以供响应后续的请求时使用。

　　·Application_AuthenticateRequest：在安全模块建立起当前用户的有效的身份时，该事件被触发。在这个时候，用户的凭据将会被验证。

　　·Application_AuthorizeRequest：当安全模块确认一个用户可以访问资源之后，该事件被触发。

　　·Session_Start：在一个新用户访问应用程序 Web 站点时，该事件被触发。

　　·Session_End：在一个用户的会话超时、结束或他们离开应用程序 Web 站点时，该事件被触发。

　　这个事件列表看起来好像多得吓人，但是在不同环境下这些事件可能会非常有用。

　　使用这些事件的一个关键问题是知道它们被触发的顺序。Application_Init 和Application_Start 事件在应用程序第一次启动时被触发一次。相似地，Application_Disposed 和 Application_End 事件在应用程序终止时被触发一次。此外，基于会话的事件（Session_Start 和 Session_End）只在用户进入和离开站点时被使用。其余的事件则处理应用程序请求，这些事件被触发的顺序是：

　　·Application_BeginRequest

　　·Application_AuthenticateRequest

　　·Application_AuthorizeRequest

　　·Application_ResolveRequestCache

　　·Application_AcquireRequestState

　　·Application_PreRequestHandlerExecute

　　·Application_PreSendRequestHeaders

　　·Application_PreSendRequestContent

　　·<<执行代码>>

　　·Application_PostRequestHandlerExecute

　　·Application_ReleaseRequestState

　　·Application_UpdateRequestCache

　　·Application_EndRequest

　　这些事件常被用于安全性方面。下面这个 C# 的例子演示了不同的Global.asax 事件，该例使用Application_Authenticate 事件来完成通过 cookie 的基于表单（form）的身份验证。此外，Application_Start 事件填充一个应用程序变量，而Session_Start 填充一个会话变量。Application_Error 事件显示一个简单的消息用以说明发生的错误。

protected void Application_Start(Object sender, EventArgs e) {
　Application["Title"] = "Builder.com Sample";
}
protected void Session_Start(Object sender, EventArgs e) {
　Session["startValue"] = 0;
}
protected void Application_AuthenticateRequest(Object sender, EventArgs e) {
　// Extract the forms authentication cookie
　string cookieName = FormsAuthentication.FormsCookieName;
　HttpCookie authCookie = Context.Request.Cookies[cookieName];
　if(null == authCookie) {
　　// There is no authentication cookie.
　　return;
　}
　FormsAuthenticationTicket authTicket = null;
　try {
　　authTicket = FormsAuthentication.Decrypt(authCookie.Value);
　} catch(Exception ex) {
　　// Log exception details (omitted for simplicity)
　　return;
　}
　if (null == authTicket) {
　　// Cookie failed to decrypt.
　　return;
　}
　// When the ticket was created, the UserData property was assigned
　// a pipe delimited string of role names.
　string[2] roles
　roles[0] = "One"
　roles[1] = "Two"
　// Create an Identity object
　FormsIdentity id = new FormsIdentity( authTicket );
　// This principal will flow throughout the request.
　GenericPrincipal principal = new GenericPrincipal(id, roles);
　// Attach the new principal object to the current HttpContext object
　Context.User = principal;
}
protected void Application_Error(Object sender, EventArgs e) {
　Response.Write("Error encountered.");
}

　　这个例子只是很简单地使用了一些Global.asax 文件中的事件；重要的是要意识到这些事件是与整个应用程序相关的。这样，所有放在其中的方法都会通过应用程序的代码被提供，这就是它的名字为Global 的原因。

　　这里是前面的例子相应的 VB.NET 代码：

Sub Application_Start(ByVal sender As Object, ByVal e As EventArgs)
　Application("Title") = "Builder.com Sample"
End Sub
Sub Session_Start(ByVal sender As Object, ByVal e As EventArgs)
　Session("startValue") = 0
End Sub
Sub Application_AuthenticateRequest(ByVal sender As Object, ByVal e As
EventArgs)
　’ Extract the forms authentication cookie
　Dim cookieName As String
　cookieName = FormsAuthentication.FormsCookieName
　Dim authCookie As HttpCookie
　authCookie = Context.Request.Cookies(cookieName)
　If (authCookie Is Nothing) Then
　　’ There is no authentication cookie.
　　Return
　End If
　Dim authTicket As FormsAuthenticationTicket
　authTicket = Nothing
　Try
　　authTicket = FormsAuthentication.Decrypt(authCookie.Value)
　　Catch ex As Exception
　　’ Log exception details (omitted for simplicity)
　　Return
　End Try
　Dim roles(2) As String
　roles(0) = "One"
　roles(1) = "Two"
　Dim id As FormsIdentity
　id = New FormsIdentity(authTicket)
　Dim principal As GenericPrincipal
　principal = New GenericPrincipal(id, roles)
　’ Attach the new principal object to the current HttpContext object
　Context.User = principal
End Sub

Sub Application_Error(ByVal sender As Object, ByVal e As EventArgs)
　Response.Write("Error encountered.")
End Sub

　　资源

　　Global.asax 文件是 ASP.NET 应用程序的中心点。它提供无数的事件来处理不同的应用程序级任务，比如用户身份验证、应用程序启动以及处理用户会话等。你应该熟悉这个可选文件，这样就可以构建出健壮的ASP.NET 应用程序。

[新闻]谷歌网页索引数量突破1万亿个