AWWW-1st3.6-w10.tresc-1.1-Slajd17

Z Studia Informatyczne
Przejdź do nawigacjiPrzejdź do wyszukiwania

Bezpieczeństwo w ASP.NET

Bezpieczeństwo w ASP.NET


Aplikacje WWW mogą być ogólnodostępne lub dostępne tylko dla uwierzytelnionych użytkowników. Powszechnie występują również aplikacje, w których pewne strony są ogólnodostępne, a inne wymagają uwierzytelnienia. Uwierzytelnienie (ang. authentication) i autoryzacja (ang. authorization) to dwa kluczowe etapy kontroli dostępu, a przez to zabezpieczania aplikacji. Uwierzytelnienie polega na zweryfikowaniu tożsamości użytkownika i najczęściej jest realizowane poprzez weryfikację nazwy użytkownika i hasła podanego przez użytkownika. Autoryzacja sprowadza się do określania jakie operacje na jakich zasobach może wykonać dany uwierzytelniony użytkownik.

ASP.NET oferuje następujące możliwości uwierzytelniania użytkowników:

(a) None – brak uwierzytelniania;

(b) Windows – uwierzytelnianie przez IIS (Basic/Digest) w oparciu o użytkowników i grupy z systemu operacyjnego Windows; jest to rozwiązanie akceptowalne w intranecie;

(c) Form-based – oparte o formularz logowania i zmienne Cookie; użytkownik jest uznany za uwierzytelnionego jeśli wraz z jego żądaniem przyszła odpowiednia zmienna Cookie, która jest ustawiana przez specjalnie przygotowany formularz, wskazany jako formularz logowania; jest to rozwiązanie stosowane najpowszechniej;

(d) Passport – z wykorzystaniem centralnego serwisu uwierzytelniania Microsoft Passport.

Autoryzacja może być: ACL-based , czyli oparta o ustawienia Access Control List na poziomie systemu plików NTFS serwera lub URL-based, czyli oparta o ścieżki adresów URL.

ASP.NET umożliwia deklaratywną konfigurację uwierzytelniania i autoryzacji poprzez odpowiednie sekcje w plikach konfiguracyjnych aplikacji Web.config.


<< Poprzedni slajd | Spis treści | Następny slajd >>