1 引言
目前,雖然網(wǎng)站的絕大部分資源對瀏覽者是開放的.但是有些信息則是特別針對某些用戶的,例如政府網(wǎng)、企業(yè)內(nèi)部網(wǎng)等,只有特定的用戶才能訪問。需要使用嚴(yán)密的安全機制來保護,以確定用戶訪問資源的權(quán)限。Web安全性便是為限制只有特定用戶群才能訪問某些文件而設(shè)計。
正確識別用戶身份,嚴(yán)密控制用戶對資源的訪問,是Web應(yīng)用程序安全性中最重要問題,也是最基本的一環(huán)。實現(xiàn)安全操作,必須經(jīng)過驗證、授權(quán)和模擬等處理程序完成。
2 口令驗證
Web安全處理的第一步便是驗證,即對于請求信息的用戶驗證其身份。用戶使用證件表明其身份.最常用的就是用戶名和密碼。在驗證用戶身份時,若系統(tǒng)不能根據(jù)用戶的證件確定其身份,則身份驗證失敗,用戶將被拒絕訪問;若證件有效,則允許用戶進入系統(tǒng),并被賦予一個合法的已知身份。
口令驗證是根據(jù)用戶知道什么進行驗證的一個例子,是目前最廣泛的身份驗證方法,雖然其安全性比其他幾種方法差,但簡單易行,如果使用恰當(dāng),可以提供一定程度的安全保證。防止口令泄漏是這一方法中的關(guān)鍵問題。
口令一般是由字母、數(shù)字和特殊字符等組成的字符串,其選擇原則:①用戶容易記憶;②難于被別人猜中或發(fā)現(xiàn);③抗分析能力強;④限制使用期限,可經(jīng)常更換。
目前主要有2種口令生成方法:①由用戶自己選擇口令。②由系統(tǒng)自動生成隨機的口令。前者優(yōu)點是用戶很容易記住它,一般不會忘記.因為所選的口令往往與用戶的某些特征有關(guān),如生日、配偶名、電話號碼等,正因為這樣,口令很容易被猜出來,泄漏的機會較大。較好的方法是設(shè)計一個口令生成器,隨機地為用戶生成口令。這種方法帶來的困難是用戶記憶非常困難,即使這個字符串不長,要讓一個人記住它也不是一件容易的事??诹畹墓芾砗苈闊?,用戶的口令要嚴(yán)格保密,不能被其他用戶得到。口令更不能以明文的形式存放在系統(tǒng)中,這樣口令很容易泄漏。因此,必須使用數(shù)據(jù)加密的方法將口令以密文的形式存放在系統(tǒng)中。
ASP.NET" title="ASP.NET">ASP.NET提供了3種驗證用戶的模式,每一種驗證模式都是通過一個獨立的驗證程序?qū)崿F(xiàn)。3種驗證模式分別為Windows、Forms和Passport。Windows驗證是通過I2S實現(xiàn):Forms驗證是在開發(fā)人員自己的服務(wù)器上實現(xiàn):而Passport驗證則是通過微軟公司的訂閱服務(wù)實現(xiàn)。
2.1 Windows驗證
當(dāng)用戶請求ASP.NET頁面時,請求信息首先遇到的是Web服務(wù)中的Internet信息服務(wù)。Internet信息服務(wù)首先驗證用戶身份,或者將驗證工作交給ASP.NET應(yīng)用程序。這種Windows身份驗證過程如圖l所示。
2.1. l 基本身份驗證
除了根本不進行驗證外,基本身份驗證是一種最簡單的驗證方式,也是一種收集用戶證件的行業(yè)標(biāo)準(zhǔn)方法。
基本身份驗證的步驟:①客戶向服務(wù)器請求被限制的資源;②Web服務(wù)器以“401 unauthoried”進行響應(yīng);③客戶端瀏覽器接收到這條信息后,要求用戶輸入用戶名和密碼來進行驗證;④如果驗證失敗,用戶證件無效,則會返回“2”,重新以“401 Unauthoried”響應(yīng);⑤如果驗證成功,客戶瀏覽器便通過身份驗證,可以訪問請求資源。
2.1.2 Windows域服務(wù)器的摘要式驗證
摘要式身份驗證,提供了與基本身份驗證同一樣的功能,在通過網(wǎng)絡(luò)往服務(wù)器傳送用戶證件信息時提高了安全性。摘要式驗證會使用MD5哈希算法加密來處理用戶證件資料。由于此項處理是單向,就算有人從網(wǎng)絡(luò)上將它們截取下來,也無法解譯成原來的用戶名與密碼,從而保證服務(wù)器資源的安全性。
2.1.3 集成Windows身份驗證
集成Windows身份驗證時,將不會要求用戶輸入證件。相反,當(dāng)瀏覽器連接到服務(wù)器后,即將加密后的、用戶登錄計算機時使用的信息發(fā)送給服務(wù)器。服務(wù)器檢查這些信息,以確定用戶是否有權(quán)訪問。
2.2 窗體驗證
窗體驗證,即驗證用戶證件資料。在ASP.NET中,可以選擇由ASP.NET應(yīng)用程序通過窗體驗證進行身份驗證,而不是通過I2S。窗體驗證是ASP.NET驗證服務(wù),它能夠讓應(yīng)用程序擁有自己的登錄界面。當(dāng)用戶試圖訪問被限制的資源時,便會被重定向至登錄界面,而不是彈出登錄對話框。在登錄頁面中,可以自行編寫代碼驗證用戶的證件資料。
安全處理流程如圖2所示。
在登錄界面中提交按鈕的Click事件處理程序中,可檢查用戶輸入的證件資料,從而判斷證書資料是否正確,也就是身份驗證的過程。根據(jù)證件資料不同的存放位置,可以將驗證方式劃分為以下3種。
ASP.NET應(yīng)用程序是系統(tǒng)資源的用戶,需要訪問文件、內(nèi)存等,因此在默認狀態(tài)下,ASP.NET應(yīng)用程序進程有非常大的權(quán)限,幾乎可訪問系統(tǒng)提供的任何資源。但有時可能根據(jù)需要通過使用ASP.NET應(yīng)用程序的用戶身份來限制對資源的使用,這便要運用模擬功能,讓ASP.NET模擬用戶身份運行程序。
(1)在代碼中直接驗證設(shè)計人員可以直接在代碼中將用戶輸入的證件資料一一對比,從而判斷用戶證件資料是否正確。
(2)利用數(shù)據(jù)庫實現(xiàn)驗證在代碼中直接對比用戶的證件資料,不僅麻煩而且代碼也難以維護。當(dāng)用戶很多時,驗證會顯得十分麻煩。這時,可將用戶列表信息先存儲在數(shù)據(jù)庫里,然后在login_btn_Click()方法中編寫代碼從數(shù)據(jù)庫取出用戶資料,再逐一對比,如果有相符者,則通過驗證。
(3)利用配置文件實現(xiàn)驗證在配置文件中,使用
2.3 Passoort驗證
Passport驗證是微軟公司提供的一種驗證服務(wù),其工作原理與窗體驗證類似,只是無需創(chuàng)建任何自定義的功能。這兩種方法都是在客戶端創(chuàng)建Cookie,用于授權(quán)。使用Passport驗證時,用戶將被重定向至Passport登錄網(wǎng)頁,該頁面提供了一個非常簡單的窗體讓用戶填寫用戶驗證資料,窗體將通過Passport服務(wù)來檢查用戶的證件,以確定用戶的身份是否有效。如果用戶證件通過了驗證,則為它在客戶端計算機上建立一個驗證Cookie。
建立Passport驗證的關(guān)鍵一步是正確地設(shè)置Web.config文件,使用代碼如下所示:
用戶通過驗證,并且取得自己的身份后,就必須檢查其是否擁有訪問所請求資源的權(quán)限,此過程便稱為“授權(quán)”。例如,在機密的政府機構(gòu)中,如果有人想進入某些房間,則首先必須檢查其是否擁有進入該房間的權(quán)限。
在Windows系統(tǒng)中,大部分的文件都會擁有一個訪問控制列表。不僅會列出有哪些用戶或者用戶組訪問該資源,而且詳細地指出了每個用戶或者用戶組所能夠運行的訪問類型一能否讀取、寫入、修改和刪除等。
《圖片管理系統(tǒng)》中的權(quán)限聲明:12級的用戶指超級管理員,即可以執(zhí)行所有操作;11級的用戶擁有修改圖片權(quán)限:10級的用戶只有瀏覽圖片的權(quán)限。
在ASP.NET中,授權(quán)方式主要有2種,它可以依賴Windows指出通過驗證的用戶可訪問哪些資源,稱之為文件授權(quán);也可依賴被請求資源的URL,被稱為URL授權(quán)。下面的這段代碼可實現(xiàn)對多個目錄的權(quán)限控制:
4 模擬
ASP.NET的另一項重要安全功能便是用戶賬戶模擬。默認狀態(tài)下,ASP.NET不啟用模擬,而是執(zhí)行所有的代碼,應(yīng)用程序可訪問所有的文件與文件夾,這時必須采用其他的安全措施控制訪問權(quán)限。
圖3詳細說明了用戶為獲得安全資源的訪問權(quán)限需要經(jīng)歷的過程。
使用模擬功能,ASP.NET能夠以訪問應(yīng)用程序的用戶身份來執(zhí)行頁面。即若用戶以“Winters”身份來訪問資源,則ASP.NET將把自己模擬成“Winters”來使用服務(wù)器上的各項資源,并根據(jù)該用戶的權(quán)限限制或者允許ASP.NET訪問某些資源,從而實現(xiàn)數(shù)據(jù)的安全性。模擬用戶的流程圖如圖4所示。
5 結(jié)語
綜上所述,是通過開發(fā)《圖片管理系統(tǒng)》中對ASP.NET安全性的探討。文章中的例子包括程序代碼段都是在開發(fā)過程中應(yīng)用的、經(jīng)過驗證的、也是運行通過的。有關(guān)于ASP.NET安全性問題有待于繼續(xù)探討。