ASP.NET教程:安全性概述

class="area">

通常情況下，網站上的大部分資源都是開放的，Internet上的任何用戶都可以進入網站，並且查看網站中的信息。但是有些資源是嚴格禁止無權限的用戶隨意訪問的，比如，銀行帳戶或個人的服親交易賬戶等。因此，正確辨別用戶身份，並且嚴格控制用戶對資源的訪問權限，建立嚴密而完善的完全機制，是Web應用程序安全性中最重要，也是最基本的一個環節。

通過學習本章，您可以：

● 掌握基千Windows的身份驗證模式

● 掌握基本身份驗證

● 掌握摘要式身份驗證

● 掌握集成Windows身份驗證

● 掌握基於窗體的身份驗證模式

● 熟悉ASP.NET提供的授權方式

什麼是安全性呢？安全性是對用戶的身份進行驗證，並對通過驗證的用戶按照為其授予的訪問權限來確定用戶是否可以訪問某種資源的一個過程。

ASP.NET與IIS、.NET Framework和操作系統的底層安全性服務相結合，可以實現多種身份驗證和授權機制。一個ASP.NET應用程序的總的安全性是由以下3個不同層級組成：

● IIS級將一個有效的安全性令牌（Security Token）與請求的發送者相關聯。該安全性令牌根據當前的IIS身份驗證機制確定。

● ASP.NET工作進程級確定ASP.NET工作進程中服務請求的線程的身份。如果啟用了假冒設置，可能會改變與該線程關聯的安全性令牌。根據正在使用的進程模型，其安全性令牌由配置文件或IIS原數據庫中的設置決定。

● ASP.NET管道級獲得使用應用程序的特定用戶的身份。該任務的完成方式取決於配置文件中用於身份驗證和授權的應用程序設置。大多數ASP.NET應用程序的常見設置是使用窗體驗證。