随笔分类 -  ASP.NET开发安全问题

摘要：要采用Forms身份验证，先要在应用程序根目录中的Web.config中做相应的设置:<authentication mode="forms"> <forms name=".ASPXAUTH " loginUrl="/login.aspx" timeout="30" path= "/"></forms> </authentication><forms>标签中的name表示指定要用于身份验证的HTTP Cookie（即指定Cookie名字 阅读全文

摘要：ASP.NET安全架构为实现Web应用程序的安全模式提供了对象模型。不管我们选择哪一种的身份验证模式，其中很多的要素是相同的。登录到应用程序的用户按照他们提供的凭证被授予Principal和Identity。其中Principal对象表示的是用户的当前的安全上下文，包括用户的标识和他们所属的角色。Identity对象表示的是当前用户。Principal对象是利用Identity对象(表示用户的标识)创建的，而且它添加一些额外的信息，比如角色或者自定义的数据。 简言之：Principal=Identity+角色+自定义数据大家要注意一点：身份验证是发生在ASP.NET运行的特定的时期的，记住这一 阅读全文

摘要：在开发Web程序中，我们可以选择用自己的方法来实现安全的策略，或者可以购买第三方的安全代码和产品，不管怎么样，都是要很大的花费的，幸好在.NET Framework中已经内置了安全的解决方案。 ASP.NET和 .NET Framework 联合IIS为Web应用程序安全提供了一个基础结构。它的一个很明显的优势在于我们不必再编写自己的安全架构，我们可以利用.NET安全架构的内置的特性，而且整个安全的架构是经过测试和时间的考验了的。 .NET安全架构包含了很多的类，这些类用来处理身份验证，授权，基于角色的授权，假冒(Impersonation)，代码访问安全，还包含了一个用于构建自定义解决方案的 阅读全文