22、ASP.NET 与经典 ASP 集成及会话状态安全解析

ASP.NET 与经典 ASP 集成及会话状态安全解析

1. IIS 7.0 集成模式下经典 ASP 的授权

在 IIS 7.0 集成模式中，对经典 ASP 页面进行授权时，若经典 ASP 页面位于运行在经典 .NET 应用程序池中的 ASP.NET 应用程序内，与授权 ASP.NET 资源相比，在配置设置方面无需额外步骤。唯一需要的配置是通配符映射，以便 ASP.NET 引擎有机会接收经典 ASP 页面请求并进行必要的处理。

对于非 ASP.NET 资源的授权，与在集成模式下运行的应用程序中非 ASP.NET 资源的身份验证并无不同。由于 ASP.NET 引擎可自动访问进入 IIS Web 服务器的每个请求，因此无需扩展映射，IIS 7.0 Web 服务器核心引擎会自动完成映射。

开发者若要在非 ASP.NET 资源上启用并使用 ASP.NET 授权模块，需更改应用程序的 web.config 配置文件中的一些配置设置。例如，在 IIS 7.0 applicationHost.config 配置文件的 <system.webServer> 配置节组下的 <modules> 配置节中，可定义托管的 UrlAuthorizationModule ：

<add name="UrlAuthorization" type="System.Web.Security.UrlAuthorizationModule" preCondition="managedHandler" />