ASP.NET 安全認證(二)

來源:互聯網
上載者:User
asp.net|安全 第二部分 Form 認證的實戰運用

話說上回,簡單地說了一下 Form 表單認證的用法。或許大家覺得太簡單,對那些大內高手來說應該是“洒洒水啦”“小 Kiss 啦(小意思)”。今天咱們來點的花樣吧:古有六扇門,拒收葉孤城;東門不颳風,吹雪姓西門;緞帶作憑證,決戰紫禁城。

五、        Web.config 的作用範圍

建立項目時, VS.Net 會在項目根目錄建立一個內容固定的 Web.config。除了在項目根目錄,你還可以在任一目錄下建立 Web.config ,條件就是應用程式層級的節點只能在根目錄的 Web.config 中出現。至於哪些是應用程式層級節點呢,這個問題嘛,其實我也不太清楚,呵呵。電腦不是我發明的,微軟不是我建立的,C# 更不是我說了算的,神仙也有不知道的,所以我不曉得是正常的。話雖如此,只要它不報錯,那就是對的。

關於 Web.config 設定的作用範圍,記住以下兩點:

1、  Web.config 的設定將作用於所在目錄的所有檔案及其子目錄下的所有東東(繼承:子隨父姓)

2、  子目錄下的 Web.config 設定將覆蓋由父目錄繼承下來的設定(覆蓋:縣官不如現管)

給大家提個問題:有沒有比根目錄Web.config 的作用範圍還大的設定檔呢?看完第三部分便知分曉。

六、        學會拒絕與巧用允許

回到我們在第一回合建立的測試專案“FormTest” ,既然要進行驗證,按國際慣例,就得有使用者名稱與密碼。那,這些使用者是管理員自己在資料庫建好呢,還是使用者註冊、管理員審核好呢。只要不是一般的笨蛋,都知道選擇後者。你們還別說,我公司還真有個別項目是管理員連到資料庫去建帳號的,屬於比較特殊的笨蛋,咱們不學他也罷,還是老老實實添加兩個頁面吧——註冊頁面(Register.aspx)與審核頁面(Auditing.aspx)。

問題終於就要浮出水面啦,當你做好 Register.aspx 時,想訪問它的時候突然覺得不對勁,怎麼又回到了登入頁面?你仔細瞧瞧網址,是不是成了:Login.aspx?ReturnUrl=Register.aspx 。怎麼辦,使用者就是因為沒有帳號才去訪問註冊頁面的呀?(這句純屬廢話,有帳號誰還跑去註冊。)我時常對我的同事說:“辦法是人想出來滴!!”

1、  建立一個目錄 Public ,用於存放一些公用的檔案,如萬年曆、指令碼呀……

2、  在“方案總管”中右擊點擊目錄 Public ,新增一個 Web.config

3、  把上述 Web.config 的內容統統刪除,僅留以下即可:

<?xml version="1.0" encoding="utf-8"?>

<configuration>

  <system.web>

   <authorization><allow users="*"/></authorization>

 </system.web>

</configuration>

終於切入正題了,不容易呀。根據“覆蓋”原則,我們知道上述 Web.config 將替代根目錄 Web.config 中的 <authorization> 節點設定,即:

       <allow users="*"/> 替換 <deny users="?"></deny>

註解:“allow”允許的意思;“*”表示所有使用者;

        “deny” 拒絕的意思;“?”表示匿名使用者;

因此,處於 Public 目錄下的檔案,允許所有人瀏覽,包括未驗證的使用者。把 Register.aspx 拖進來吧,再也不會有人阻止你瀏覽啦。

除了註冊頁面,我們還提到一個審核頁面(Auditing.aspx),審核許可權一般都在管理員或主管手裡,並不想讓其他人瀏覽此頁面(真理往往掌握在少數人的手裡,這也是沒法子的事),怎麼辦?“辦法是人想出來滴”呵呵……建立一個管理員的目錄 ManageSys ,在此目錄下再新增一個 Web.config。內容如下:

<?xml version="1.0" encoding="utf-8"?>

<configuration>

<system.web>

<authorization>

<allow users="Admin"/>

<deny users="*"/>

</authorization>

  </system.web>

</configuration>

現在的問題就是怎麼才能知道誰是“Admin”呢,這個問題就有點象“我的鞋底有個洞”—— 天不知地知,你不知我知。閑話少說(要是有稿費多好,我就有多寫幾個字的動力,唉……),大家還記得我在第一部分的結尾嗎?什麼,忘啦!罰你回去看一百遍,記住了再回來。站住,回來!一想到你的記性,我就不放心,第一部分的瀏覽網址是http://blog.csdn.net/cityhunter172/archive/2005/11/06/524043.aspx ,回到此處的網址是http://blog.csdn.net/cityhunter172/archive/2005/11/13/528463.aspx

好了,不管那些記不好的傢伙了,大夥繼續往下看。

System.Web.Security.FormsAuthentication.SetAuthCookie(this.Txt_UserName.Text,false); //通過驗證,發放 Cookie

之前我曾強調,要注意,第一個參數很重要,重要到什麼程度?說到這,恐怕地球人都知道了——它就是allow與deny的依據。假如此處使用者填寫的是“Admin”即 this.Txt_UserName.Text = "Admin"; 那麼進入系統後,他就能訪問 ManageSys 目錄下的網頁了,其它閑雜人等一律拒之門外。

為鞏固上述內容,給大夥留個課外作業:此項目有兩部門使用,其中每個部門分別都有些特定的頁面僅供本部門使用者瀏覽使用,請問該如何使用 Web.config 達到效果?同樣,答案在第三部分揭曉

七、        分散與集中

乍看之下,就象是馬克思列寧主義、毛澤東思想、鄧小平理論中的辯證關係,大夥放心,偶是學理科的,只明白“高舉程式員的偉大旗幟,以編寫代碼為中心”。停……

到目前為此,我們的測試專案“FormTest”已經擁有兩個目錄三個 Web.config ,伴隨使用者需求的多樣化,Web.config 也會越來越多,比如常用的檔案上傳功能等等。眾多的 Web.config 分布在不同的目錄裡面,維護起來肯定比較煩人。能不能集中起來管理呢,應該咋辦哩?“辦法是……”喲,有人先說出來啦。不錯,“辦法的確是人想出來滴” ,我不說,你是不是只有在一邊涼伴?開玩笑的,為了讓更多的人記住這句話,我打算告訴你集中管理的辦法。 要想集中管理,不得不用到 <location> 節點與 path 屬性。在本項目中,我們將目錄 Public 與 ManageSys 下的設定放在根目錄下的 Web.config 裡面,如下:

<?xml version="1.0" encoding="utf-8"?>

<configuration>

<location path ="Public">

            <system.web>

                <authorization>

<allow users="*"/>

</authorization>

            </system.web>

       </location>

<location path ="ManageSys">

            <system.web>

       <authorization>

<allow users="Admin"/>

<deny users="*"/>

</authorization>

            </system.web>

       </location>        <system.web>

                            <!-- 這裡放置原來根目錄 Web.config 的內容,就不列出來了 -->

(本文出自寒羽楓 cityhunter172 的部落格:http://blog.csdn.net/cityhunter172 個人網站:http://172.meibu.com)

       </system.web>

</configuration>

       需要提醒的是

1、  <location> 節點的位置是在 <configuration> 的一個子節點,它與原有的 <system.web> 屬於並列關係

2、  <location> 節點只需要放入對應子目錄 Web.config 中的 <system.web> 的節點內容

八、        額外的保護

第二部分就要結束了,現在時間已是淩晨 4 點50分,我容易嘛我。認證的目的就是為了防止他人非法瀏覽頁面,或未經許可使用某些功能。當然,世上沒有絕對的安全,如今 MD5 加密都被我們國人給破解了,就是最好的例證。

細心的人可能早就發現 ASP.NET 的安全認證只針對 .aspx、.ascx …… 等 ASP.NET 檔案起作用,而對普通頁面與檔案卻“視而不見”,如 .htm、.js 、.jpg 等。通過以下步驟你就可以保護你想保護的檔案類型。 1、  開啟 Internet 資訊服務(IIS)管理器 → 右擊本項目虛擬 → 屬性,如下圖(http://blog.csdn.net/images/blog_csdn_net/cityhunter172/85935/r_aspxForm01.JPG)

2、  點擊按鈕“配置”,出現如下對話方塊:(http://blog.csdn.net/images/blog_csdn_net/cityhunter172/85935/r_aspxForm02.JPG)

3、  雙擊 .aspx 的應用程式擴充 → 查看對話方塊內容,如下圖:(http://blog.csdn.net/images/blog_csdn_net/cityhunter172/85935/r_aspxForm03.JPG)

4、  複製“可執行檔”的全路徑名稱後 → 點擊“取消”返回上一層對話方塊 → 點擊按鈕“添加”

5、  粘貼剛才複製的內容(我的系統裝在 D 盤,所以內容為 D:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll ) → 填寫尾碼名為 .htm → 填寫動作限制為“GET,HEAD,POST,DEBUG”(為方便省事你可選全部)

6、  最後點擊“確定” → 往項目中添加 HtmlPage1.htm → 在 IE 瀏覽器的地址欄直接輸入http://localhost/FormTest/HtmlPage1.htm → 觀看測試效果

最後送大家一段 Web.config 設定,發完睡覺,實在是困的不行了。

<location path ="決戰紫禁城">

            <system.web>

                <authorization>

<allow users="葉孤城"/>

<allow users="西門吹雪"/>

<deny users="*"/>

</authorization>

            </system.web>

       </location>

<location path ="金鑾殿屋脊">

            <system.web>

       <authorization>

<allow users="腰系緞帶之人"/>

<deny users="*"/>

</authorization>

            </system.web>        </location>


相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。