源码网商城,靠谱的源码在线交易网站 我的订单 购物车 帮助

源码网商城

申请开店
全部源码分类
首页 源码街 任务需求 版权中心 备案服务 商家入驻

asp.net身份验证方式介绍

  • 时间:2022-05-11 16:37 编辑: 来源: 阅读:
  • 扫一扫,手机访问
摘要:asp.net身份验证方式介绍
windows身份验证: IIS根据应用程序的设置执行身份验证.要使用这种验证方式,在IIS中必须禁用匿名访问. Forms验证:用Cookie来保存用户凭证,并将 未经身份验证的用户重定向到自定义的登录页. Passport验证:通过Microsoft的集中身份验证服务执行的,他为成员站点提供单独登录 和核心配置文件服务. [b]一. 配置windows身份验证 [/b]1)配置IIS设置 [img]http://img.1sucai.cn/uploads/article/2018010710/20180107100113_0_90844.gif[/img] of Dern)" width="508"> [b]2)设置Web.config [/b]<system.web> <authentication mode = "Windows"> <!--通知操作系统将当前登录的用户的信任书传递给浏览器--> <authorization> <!--禁止匿名用户访问--> <deny users = "?"/> </authorization> </system.web> [b]二.配置Forms身份认证 [/b]1)配置web.config
[url=http://msdn2.microsoft.com/library/ms227435%28en-US,VS.80%29.aspx]http://msdn2.microsoft.com/library/ms227435(en-US,VS.80).aspx[/url]。 身份验证模块 ASP.NET 2.0 在计算机级别的 Web.config 文件中定义一组 HTTP 模块。其中包括大量身份验证模块,如下所示: 
<httpModules> <add name="WindowsAuthentication" type="System.Web.Security.WindowsAuthenticationModule" /> <add name="FormsAuthentication" type="System.Web.Security.FormsAuthenticationModule" /> <add name="PassportAuthentication" type="System.Web.Security.PassportAuthenticationModule" /> </httpModules>
只加载一个身份验证模块,这取决于该配置文件的[b]authentication[/b] 元素中指定了哪种身份验证模式。该身份验证模块创建一个[b]IPrincipal[/b] 对象并将它存储在[b]HttpContext.User[/b] 属性中。这是很关键的,因为其他授权模块使用该[b]IPrincipal[/b] 对象作出授权决定。 当 IIS 中启用匿名访问且[b]authentication[/b] 元素的[b]mode[/b] 属性设置为[b]none[/b] 时,有一个特殊模块将默认的匿名原则添加到[b]HttpContext.User[/b] 属性中。因此,在进行身份验证之后,[b]HttpContext.User[/b] 绝不是一个空引用(在 Visual Basic 中为[b]Nothing[/b])。 WindowsAuthenticationModule 如果 Web.config 文件包含以下元素,则激活[b]WindowsAuthenticationModule[/b] 类。 
<authentication mode="Windows" />
[b]WindowsAuthenticationModule[/b] 类负责创建[b]WindowsPrincipal[/b] 和[b]WindowsIdentity[/b] 对象来表示经过身份验证的用户,并且负责将这些对象附加到当前 Web 请求。 对于 Windows 身份验证,遵循以下步骤: [list] [*] [b]WindowsAuthenticationModule[/b] 使用从 IIS 传递到 ASP.NET 的 Windows 访问令牌创建一个[b]WindowsPrincipal[/b] 对象。该令牌包装在[b]HttpContext[/b] 类的[b]WorkerRequest[/b] 属性中。引发[b]AuthenticateRequest[/b] 事件时,[b]WindowsAuthenticationModule[/b] 从[b]HttpContext[/b] 类检索该令牌并创建[b]WindowsPrincipal[/b] 对象。[b]HttpContext.User[/b] 用该[b]WindowsPrincipal[/b] 对象进行设置,它表示所有经过身份验证的模块和 ASP.NET 页的经过身份验证的用户的安全上下文。 [/*][*] [b]WindowsAuthenticationModule[/b] 类使用 P/Invoke 调用 Win32 函数并获得该用户所属的 Windows 组的列表。这些组用于填充[b]WindowsPrincipal[/b] 角色列表。 [/*][*] [b]WindowsAuthenticationModule[/b] 类将[b]WindowsPrincipal[/b] 对象存储在[b]HttpContext.User[/b] 属性中。随后,授权模块用它对经过身份验证的用户授权。 [b]注:[/b][b]DefaultAuthenticationModule[/b] 类(也是 ASP.NET 管道的一部分)将[b]Thread.CurrentPrincipal[/b] 属性设置为与[b]HttpContext.User[/b] 属性相同的值。它在处理[b]AuthenticateRequest[/b] 事件之后进行此操作。 [/*][/list] 授权模块 [b]WindowsAuthenticationModule[/b] 类完成其处理之后,如果未拒绝请求,则调用授权模块。授权模块也在计算机级别的 Web.config 文件中的[b]httpModules[/b] 元素中定义,如下所示: 
<httpModules> <add name="UrlAuthorization" type="System.Web.Security.UrlAuthorizationModule" /> <add name="FileAuthorization" type="System.Web.Security.FileAuthorizationModule" /> <add name="AnonymousIdentification" type="System.Web.Security.AnonymousIdentificationModule" /> </httpModules>
UrlAuthorizationModule 调用[b]UrlAuthorizationModule[/b] 类时,它在计算机级别或应用程序特定的 Web.config 文件中查找[b]authorization[/b] 元素。如果存在该元素,则[b]UrlAuthorizationModule[/b] 类从[b]HttpContext.User[/b] 属性检索[b]IPrincipal[/b] 对象,然后使用指定的动词(GET、POST 等)来确定是否授权该用户访问请求的资源。 FileAuthorizationModule 接下来,调用[b]FileAuthorizationModule[/b] 类。它检查[b]HttpContext.User.Identity[/b] 属性中的[b]IIdentity[/b] 对象是否是[b]WindowsIdentity[/b] 类的一个实例。如果[b]IIdentity[/b] 对象不是[b]WindowsIdentity[/b] 类的一个实例,则[b]FileAuthorizationModule[/b] 类停止处理。 如果存在[b]WindowsIdentity[/b] 类的一个实例,则[b]FileAuthorizationModule[/b] 类调用[b]AccessCheck[/b] Win32 函数(通过 P/Invoke)来确定是否授权经过身份验证的客户端访问请求的文件。如果该文件的安全描述符的随机访问控制列表 (DACL) 中至少包含一个[b]Read[/b] 访问控制项 (ACE),则允许该请求继续。否则,[b]FileAuthorizationModule[/b] 类调用[b]HttpApplication.CompleteRequest[/b] 方法并将状态码 401 返回到客户端。 [h2]安全上下文[/h2] .NET Framework 使用以下两个接口封装 Windows 令牌和登录会话: [list] [*] [b]System.Security.Principal.IPrincipal[/b] [/*][*] [b]System.Security.Principal.IIdentity[/b](它公开为[b]IPrincipal[/b] 接口中的一个属性。) [/*][/list] HttpContext.User 在 ASP.NET 中,用[b]WindowsPrincipal[/b] 和[b]WindowsIdentity[/b] 类表示使用 Windows 身份验证进行身份验证的用户的安全上下文。使用 Windows 身份验证的 ASP.NET 应用程序可以通过[b]HttpContext.User[/b] 属性访问[b]WindowsPrincipal[/b] 类。 要检索启动当前请求的 Windows 经过身份验证的用户的安全上下文,使用以下代码: 
using System.Security.Principal; ... // Obtain the authenticated user's Identity WindowsPrincipal winPrincipal = (WindowsPrincipal)HttpContext.Current.User;
WindowsIdentity.GetCurrent [b]WindowsIdentity.GetCurrent[/b] 方法可用于获得当前运行的 Win32 线程的安全上下文的标识。如果不使用模拟,线程继承 IIS 6.0(默认情况下的 NetworkService 帐户)上进程的安全上下文。 该安全上下文在访问本地资源时使用。通过使用经过身份验证的初始用户的安全上下文或使用固定标识,您可以使用模拟重写该安全上下文。 要检索运行应用程序的安全上下文,使用以下代码: 
using System.Security.Principal; ... // Obtain the authenticated user's identity. WindowsIdentity winId = WindowsIdentity.GetCurrent(); WindowsPrincipal winPrincipal = new WindowsPrincipal(winId);
Thread.CurrentPrincipal ASP.NET 应用程序中的每个线程公开一个[b]CurrentPrincipal[/b] 对象,该对象保存经过身份验证的初始用户的安全上下文。该安全上下文可用于基于角色的授权。 要检索线程的当前原则,使用以下代码: 
using System.Security.Principal; ... // Obtain the authenticated user's identity WindowsPrincipal winPrincipal = (WindowsPrincipal) Thread.CurrentPrincipal();
表 1 显示从各种标识属性获得的结果标识,当您的应用程序使用 Windows 身份验证且 IIS 配置为使用集成 Windows 身份验证时,可以从 ASP.NET 应用程序使用这些标识属性。   [b]表 1:线程公开的 CurrentPrincipal Object[/b]
Web.config 设置 变量位置 结果标识
<identity impersonate="true"/> <authentication mode="Windows" /> HttpContext WindowsIdentity 线程 DomainUserName DomainUserName DomainUserName
<identity impersonate="false"/> <authentication mode="Windows" /> HttpContext WindowsIdentity 线程 DomainUserName NT AUTHORITYNETWORK SERVICE DomainUserName
<identity impersonate="true"/> <authentication mode="Forms" /> HttpContext WindowsIdentity 线程 用户提供的名称 DomainUserName 用户提供的名称
<identity impersonate="false"/> <authentication mode="Forms" /> HttpContext WindowsIdentity 线程 用户提供的名称 NT AUTHORITYNETWORK SERVICE 用户提供的名称
 
[url=http://msdn.microsoft.com/zh-cn/library/aa480475.aspx#mainSection][img]http://img.1sucai.cn/uploads/article/2018010710/20180107100115_1_22898.gif[/img] [/url] [url=http://msdn.microsoft.com/zh-cn/library/aa480475.aspx#mainSection]返 回页首[/url]
[h2]模拟[/h2] ASP.NET 应用程序可以使用模拟来执行操作,使用经过身份验证的客户端或特定 Windows 帐户的安全上下文来访问资源。 初始用户模拟 要模拟初始(经过身份验证的)用户,请在 Web.config 文件中使用以下配置: 
<authentication mode="Windows" /> <identity impersonate="true" />
使用该配置,ASP.NET 始终模拟经过身份验证的用户,且所有资源访问均使用经过身份验证的用户的安全上下文执行。如果您的应用程序的虚拟目录上启用了匿名访问,则模拟 IUSR_MACHINENAME 帐户。 要暂时模拟经过身份验证的调用方,将[b]identity[/b] 元素的[b]impersonate[/b] 属性设置为[b]false[/b], 然后使用以下代码: 
using System.Security.Principal; ... // Obtain the authenticated user's identity. WindowsIdentity winId = (WindowsIdentity)HttpContext.Current.User.Identity; WindowsImpersonationContext ctx = null; try { // Start impersonating. ctx = winId.Impersonate(); // Now impersonating. // Access resources using the identity of the authenticated user. } // Prevent exceptions from propagating. catch { } finally { // Revert impersonation. if (ctx != null) ctx.Undo(); } // Back to running under the default ASP.NET process identity.
这段代码模拟经过身份验证的初始用户。在[b]HttpContext.Current.User.Identity[/b] 对象中维护初始用户的标识和 Windows 令牌。 固定标识模拟 如果需要在应用程序的整个生命周期中模拟相同的标识,可以在 Web.config 文件中的[b]identity[/b] 元素上指定凭据。以下示例显示如何模拟名为"TestUser"的 Windows 帐户。 如果使用该方法,应该对这些凭据进行加密。使用 ASP.NET 2.0,您可以使用 ASP.NET IIS 注册工具 (Aspnet_regiis.exe)。使用 ASP.NET 1.1 版,您可以使用 Aspnet_setreg.exe 实用工具。有关该实用工具的详细信息,请参阅 [url=http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cptools/html/cpgrfaspnetiisregistrationtoolaspnet_regiisexe.asp]http://msdn.microsoft.com/library/default.asp?url=/library/en-us/cptools/html/cpgrfaspnetiisregistrationtoolaspnet_regiisexe.asp[/url]。 要在 ASP.NET 应用程序中使用固定标识进行资源访问,可使用 Windows 2000 Server 或 Windows Server 2003 上的[b]identity[/b] 元素来配置凭据。如果正在运行 Windows Server 2003,其中的 IIS 6.0 配置为运行在辅助进程隔离模式下(默认情况),则可通过将 ASP.NET 应用程序配置为在自定义应用程序池(在特定的域标识下运行)中运行来避免模拟。然后,可以使用指定的域标识访问资源而无需使用模拟。
[url=http://msdn.microsoft.com/zh-cn/library/aa480475.aspx#mainSection][img]http://img.1sucai.cn/uploads/article/2018010710/20180107100115_1_22898.gif[/img] [/url] [url=http://msdn.microsoft.com/zh-cn/library/aa480475.aspx#mainSection]返 回页首[/url]
[h2]委托[/h2] 模拟只提供对本地资源的访问。委托是一个扩展的模拟功能,它允许您使用模拟令牌访问网络资源。 如果应用程序使用 Kerberos v5 身份验证对其用户进行身份验证,则可使用 Kerberos 委托在应用程序的各层传递用户标识并访问网络资源。如果应用程序不使用 Kerberos v5 身份验证,则可使用协议转换切换到 Kerberos,然后使用委托传递该标识。 Windows Server 2003 中的约束委托需要 Kerberos 身份验证。如果您的应用程序无法使用 Kerberos 身份验证对其调用方进行身份验证,您可以使用协议转换从可选的非 Windows 身份验证模式(如,窗体或证书身份验证)切换到 Kerberos 身份验证。然后,可使用具有约束委托的 Kerberos 访问下游网络资源。 约束的和未约束的委托 Windows 2000 Server 上的 Kerberos 委托是[i]未约束的[/i]。Active Directory 中配置了委托的服务器可在使用模拟的用户安全上下文的同时访问任何网络资源或网络上的任何计算机。这会带来潜在的安全威胁,尤其是 Web 服务器遭受恶意用户攻击时。 为了解决该安全问题,Windows Server 2003 引入了[i]约束的委托[/i]。这使管理员能够在使用模拟的用户安全上下文时准确 指定另一个服务器或域帐户可以访问的服务。 配置委托 要使用 Kerberos 委托,需要适当的 Active Directory 配置。 要授予 Web 服务器委托客户端凭据的权限,请按以下方式配置 Active Directory: [list] [*] 如果在 NetworkService 帐户下运行应用程序,Web 服务器计算机帐户必须在 Active Directory 中标记为受信任委托。 [/*][*] 如果在自定义域帐户下运行应用程序,该用户帐户必须在 Active Directory 中标记为受信任委托。 [/*][*] 如果应用程序模拟一个用户帐户,请确保应用程序模拟的用户帐户在 Active Directory 中未标记为"敏感帐户,不能被委托"。 [/*][/list] 有关协议转换和约束委托的详细信息,请参阅 [url=http://msdn.microsoft.com/library/en-us/dnpag2/html/paght000024.asp]How To: Use Protocol Transition and Constrained Delegation in ASP.NET 2.0[/url]。
  • 全部评论(0)
上一篇:jQuery 验证插件 Web前端设计模式(asp.net)
下一篇:asp.net 简单验证码验证实现代码
关于我们 | 广告合作 | 联系我们 | 隐私条款 | 免责声明 | 网站地图

苏ICP备2024110244号-2      苏公网安备32050702011978号      增值电信业务经营许可证编号:苏B2-20251499   |  Copyright 2018 - 2025   源码网商城 (www.ymwmall.com) 版权所有

联系客服
客服电话:
400-000-3129
微信版

扫一扫进微信版
返回顶部