ASP.NET安全身份驗證的實現
2024-07-10 12:55:55
供稿:網友
.net平臺及其asp+所提供的強大開發功能是每個程序員所不能忽視的,對某種語言的偏好不該影響選擇最具效率的開發工具。 而目前,asp+確實提供了許多jsp所無法比擬的功能。
使用asp+,你會真正感到使用語言的自由性,編程時在網頁上可看到編譯asp+頁中c#等語言時的全部編譯信息,而且使用asp+提供的數十種功能強大的服務器端控件,幾乎可以實現以前客戶端rad開發工具所能實現的全部功能,asp+可以直接方便地使用.net中的xml技術,使用幾個簡單的函數就可以用xml替代一些數據庫或和其他程序交換信息。
對于未來,將有越來越多的語言支持asp+的開發,而富士通美國子公司已經推出了cobol for .net,讓cobol也可以開發asp+應用程序了。惟一遺憾的是,asp+目前還不能跑在除windows系列的其他平臺上,但這正是.net正在做的事。
基于上述優點,越來越多的web應用將會使用asp+方式開發,在具體實現如電子商務等應用時,必須重視各種安全性問題,此問題涉及操作系統、網絡管理及程序安全等眾多方面,限于篇幅,本文將介紹如何用asp+的配置和程序實現安全身份驗證。
asp+的相關配置
asp+的配置方法較特別,它使用config.web這個xml類型的文件來存儲配置信息,你可用notepad或xml編輯器方便地修改其內容,規定的設置方式是子目錄繼承或者覆蓋從父目錄得來的配置設定,就是說在root目錄下放了個config.web文件,那么任何下一級目錄將自動繼承這個文件中的配置,假如某個子目錄需要另外的配置時,我們可再另建一個config.web放在該子目錄下。這種配置管理方式對安裝你的應用程序、配置的修改及安全管理都極為有利。
asp+提供了三種主要的身份驗證方式即:windows、cookie和passport,windows是指使用windows自身的安全管理方式,你可通過設置windows的用戶及iis等權限來保障安全,對于一些大應用,使用此方法將非常復雜和煩瑣。passport方式較為方便和安全,用戶只用一個用戶名和密碼可以訪問任何成員站,并且在注銷離開時,所有passport相關的信息都會清除,你可以在公共場所放心地使用它,相信passport比較適合internet的應用。在企業級應用中,使用cookie方式和ssl、ip限制等一些網管技術同樣可以實現一定的安全性。
下面介紹一下cookie的配置:
你需建一個如下內容的config.web,并將它放在c:/inetpub/wwwroot/(iis缺省目錄)下,對于系統安裝時已經建立的config.web,一般在/winnt/microsoft.net/framework/v...目錄下。
<configuration>
<security>
<authentication mode="cookie">
<cookie decryptionkey="autogenerate" loginurl="/login.aspx" cookie=".aspxauth" />
</authentication>
<authorization>
<deny users="?" />
</authorization>
</security>
</configuration>
該配置文件聲明用cookie方式驗證,在你訪問該目錄及其子目錄下的aspx文件時,如果你沒有認證的cookie,它就會重定向到login.aspx。如果你需要一個不需要身份認證的目錄(可放用戶申請的程序)則可建一個如下的config.web并放在該目錄下:
<configuration>
<security>
<authorization>
<allow users="*" />
</authorization>
</security>
</configuration>
程序設計
你需在root目錄下建立default.aspx和login.aspx這兩個asp+程序。
login.aspx程序內容如下:
<%@ import namespace="system.web.security" %>
<%@ import namespace="system.data" %>
<%@ import namespace="system.data.ado" %>
<html>
<head>
<title>login</title>
<script language="c#" runat=server debug="true" >
void login_click(object sender, eventargs e) {
if(page.isvalid)
{ adodatareader dr;
// 連接數據庫,用戶名和密碼放在odbc連接的數據庫qcdb中的表users中
adoconnection cn = new adoconnection("dsn=qcdb");
cn.open();
adocommand cmdquestion = new adocommand("select password from users where name = "" + yourname.text + """, cn);
//選擇相應用戶信息
cmdquestion.execute(out dr);
//建一個datareader得到sql結果
if(dr.read()) //得到對應的第一個行數據
if(dr["password"].tostring() == password.text)
cookieauthentication.redirectfromloginpage(yourname.text, abidingcookie.checked);
else //上面語句生成一個cookie,如用戶選擇abidingcookie,則永久保存cookie
msg.text = "密碼錯誤";
else
msg.text = "用戶名不存在";
}
}
</script>
</head><center><body>
<asp:label id="msg" forecolor="red" font-name="verdana";
font-size="18" runat=server />
<form runat=server>
<table><tr><td><asp:label text="用戶名: " runat=server/></td>
<td><asp:textbox id="yourname" runat=server /></td>
</tr><tr><td><asp:label text="密碼:" runat=server/></td>
<td><asp:textbox id="password" textmode="password" runat=server /></td>
<td><asp:button id="btnlogin" text="確定" onclick="login_click" runat=server /></td>
<td> </td></tr><tr><td>希望下次不用輸入密碼</td>
<td><asp:checkbox id=abidingcookie runat="server" /> </td>
<td></td></tr></td><td></td></tr></table>
</form></td> <td width="283" height="1" bgcolor="#f0f0f0"></td>
</tr></table></center></div><p></p></body>
</html>
default.aspx程序內容如下:
<%@ page language="c#" %>
<html><head><title>歡迎來到.net的世界</title>
<script runat=server>
private void page_load(object src, eventargs e )
{ welcome.innerhtml = "祝賀你通過身份驗證" + context.user.identity.name;
} private void signout_click(object sender, eventargs e)
{ cookieauthentication.signout();
//按下signout按鍵清除原cookie
response.redirect("login.aspx");
//讓用戶重輸入新用戶名、密碼
}
</script><body><center>
<h3><font face="verdana">.net身份驗證系統提示你</font></h3>
<span id="welcome" runat=server/><form runat=server>
<input type="submit" onserverclick= "signout_click" value="取消該登錄身份" runat="server"/><p>
</form><p><a href="/adduser/">進入管理室</a></p></center></body></html>
具體執行時,當一個未經認證的用戶瀏覽你的網站的.aspx文件時(注意,cookie認證只對.aspx文件起作用),系統發現該用戶沒cookie,于是將它重定向到login.aspx,當用戶輸入正確的用戶名和密碼后,系統為該用戶生成一個cookie并立刻自動重定向到一開始該用戶要瀏覽的.aspx文件并執行它,缺省的則定向到default.aspx,上面提供的default.aspx則提示你已經通過身份認證。
總結
由于我們使用了session跟蹤應用程序訪問或會話期間特定的web瀏覽器信息,帶有相應的 cookie 的http請求被認為是來自同一web瀏覽器,所以要防止被人使用sniffer等方法非法截獲cookie信息,你需要考慮使用ssl或其他安全的通訊鏈路加密方法。
對于上述程序,你可以方便地在table中加入用戶ip地址的信息,來驗證intranet用戶。由于cookie就像一個身份證,為防止有人非法使用你的cookie,應該讓cookie隨著瀏覽器的關閉一起清除。
總之,使用cookie的身份驗證方法再結合各種加密手段以及操作系統完善的安全配置就可以為大多數需要安全認證的應用提供足夠的支持。中國最大的web開發資源網站及技術社區,
