16、Web应用程序的安全认证与用户管理

Web应用程序的安全认证与用户管理

1. Web安全概述

在当今，软件安全是一个备受关注的话题，尤其是随着公众对隐私等安全问题的认识不断提高。当Web应用程序在微软环境中运行时，会立即出现几个安全问题：
1. Internet信息服务（IIS）的安全上下文 ：几乎所有对网站的访问都通过IIS进行，因此了解IIS的安全上下文至关重要。
2. 确认客户端身份 ：需要确保客户端是他们声称的身份，防止非法访问。
3. 指定客户端权限 ：明确客户端对应用程序可以执行和不可以执行的操作。

管理基于Web的安全与管理典型的网络安全类似，都需要管理用户的身份验证和授权。但基于Web的安全涉及在开放系统中管理运行不同平台的客户端。与Windows网络这样的封闭系统不同，Web应用程序的用户范围更广，且不一定是本地网络的一部分，因此需要在Windows基础设施之外寻找其他方式来对Web应用程序的用户进行身份验证和授权。

2. 保护IIS

在Windows环境中编写Web应用程序时，遇到的第一个安全问题是理解IIS的安全上下文。当在计算机上安装IIS时，安装过程会为IIS创建一个单独的安全身份。可以通过以下步骤查看IIS运行的身份：
1. 在控制面板中启动IIS。
2. 打开Internet信息服务（IIS）管理器。
3. 选择一个虚拟目录。
4. 查看“功能”窗格。
5. 双击“身份验证”项以打开“身份验证”页面。
6. 右键单击“匿名身份验证”，然后单击“编辑”。