[本周]如约而至;时间是争取来的这回的[本周]是把若干零碎的时间利用起来成文的完成对身份验证访问授权等内容的梳理可能漏掉的东西会比较多漏掉的还是希望大家来补充顺便说一下上次[本周]Ajax 那点事 题目我认为很平实很低调了没料到还是被批评了这回考虑一下用了一个白开水一样的题目没有问题了吧?言归正传……
观其大略
是依存于IIS的一个服务说到的安全相关的话题当然要有一个整体上的思路IIS接收—》IIS验证—》IIS授权》验证》授权》资源返回给用户
IIS从网络上接收到一个HTTP WEB请求可以使用SSL技术来保证服务器的身份此外SSL也可以提供一个安全通道来保护客户端和服务器端的机密数据的传送IIS使用基本 摘要式 或者其它的方式验证用户如果网站中的大部分内容不需要验证就可以设定为匿名验证验证之后是授权通过授权IIS来允许或者禁止用户访问某资源IIS可以使用ACL定义的NTFS权限或者针对IP地址的客户端授权
IIS把Windows存取令牌传送到如果IIS使用的是匿名验证则为匿名Internet使用者的存取令牌(IUSER_MYMACHINE) 验证访问者(有三种方式)授权所需要的资源或者操作(有两种授权方法)
中程序的代码使用特别的身份来存取本机或者远程资源
身份验证身份验证就是一个解决谁有权力进入系统的问题通常的做法就是跟系统维护的用户名单进行核对这样转化为一个实际的技术问题如果有效的判断一个用户是不是系统的有效用户这个过程就是—Authentication(身份验证)
专业说法接收用户凭据并根据指定的颁发机构来验证凭据的过程成为身份验证
提供三种身份验证方式Windows验证 Forms验证 Passport验证
身份验证的使用是通过配置nfig文件的< Authentication >配置节来实现的
授权授权就是确认用户拥有足够的权限来访问请求的资源
提供两类授权服务文件授权服务 URL授权服务
说点细节
< Authentication >配置节mode可用的参数None Windows Forms Passport
Windows:IIS根据程序的设置执行身份的验证(基本 简要 或者集成Windows)
注意使用这种验证方式IIS中必须要禁用匿名访问
Windows验证适用于受控环境中比如企业的Intranet
Foms这种验证使用Cookie保存用户凭证并将未将验证的用户重定向到登录页通常这是的IIS配置为匿名访问
Forms适合部署于互联网的网站应用
Passport验证是通过微软的集中身份验证服务执行的它为成员站点提供单点登录和配置文件服务
Passport适用于跨站点应用一旦用户注销所有的护照信息就会清除可以在公共场所使用它
ACL面向的是文件IIS提供通过验证的用户通过比较ACL调用标记完成授权
URL授权检查的根据是URL本身而不是URL对应的文件URL授权可以是应用程序像基于窗体的身份验证或者Passport的身份集成验证因为这些验证中的用户和计算机或者域中的账户并不对应还控制对虚拟资源的访问
URL授权的配置授权指令allow deny 对应操作对象是roles users 还可以使用Verb属性区别不同的HTTP行为(POST /GET)
通常情况下用户访问一个网站都是使用匿名访问匿名访问的用户都会转化为操作系统上的一个帐号来访问服务器
<authentication mode=windows>
<identity impersonate=true>
Windows验证用户通过了验证之后会触发Globalasax文件中的WindowsAuthentication_OnAuthenticate事件可以在这里添加代码把用户信息附加到请求上
Passport验证的问题是有多少网站愿意把自己的用户数据放在微软的数据库中?
使用基于角色的安全把用户映射到一个角色组里面这个角色组对应一定的权限这样就实现了对一个群体的权限管理所以角色应该是对一组具有相同权限用户的抽象
上面所说的都是可以应用于实践的问题集中在nfig的配置和一些初始化操作大家和容易找到相关内容我还是提供一个纲要呵呵夜深了睡了晚安!
顺便问一句爱要怎么说出口?
坚强
年月日夜
