[.NET 基于角色安全性验证] 之一:ASP.NET Forms 基础

最新推荐文章于 2019-10-11 11:38:55 发布
原创 最新推荐文章于 2019-10-11 11:38:55 发布 · 697 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#asp.net #forms #.net #string #interface #null

本文介绍.NET框架下基于角色的安全性验证原理及实现方式,包括主体(Principal)和标识(Identity)对象的概念,以及如何使用WindowsPrincipal/WindowsIdentity进行权限验证。

.NET 基于角色安全性验证的核心是主体(Principal)和标识(Identity)对象,其中主体负责角色或者组的验证,标识对象封装有关正在验证的用户或实体的信息。角色安全性验证通过生成可供当前线程使用的主体信息来支持授权,其中主体用关联的标识进行构造。

public interface IPrincipal
{
// Methods
bool IsInRole(string role);

// Properties
IIdentity Identity { get; }
}

public interface IIdentity
{
// Properties
string AuthenticationType { get; }
bool IsAuthenticated { get; }
string Name { get; }
}


在 .NET Framework 中提供了两组 Principal/Identity 类型,分别是基于 Windows 操作系统账户的 WindowsPrincipal/WindowsIdentity,以及用来进行自定义验证的 GenericPrincipal/GenericIdentity。

主体(Principal)对象在应用程序域(AppDomain)中绑定到调用上下文(CallContext)对象,缺省情况下,应用程序域会自动创建采取默认安全策略的 GenericPrincipal/GenericIdentity对象,同时主体(Principal)对象引用从创建线程自动复制到新线程的调用上下文(CallContext)中。我们可以通过 Thread.CurrentPrincipal 获得缺省主体(Principal)和标识(Identity)对象信息。

Console.WriteLine(Thread.CurrentPrincipal);
Console.WriteLine(Thread.CurrentPrincipal.Identity);


接下来,我们使用 WindowsPrincipal/WindowsIdentity 做一些简单的验证,同时为了进一步理解基于角色安全性验证的用途。

static void Test()
{
   Console.WriteLine("Test...");
}

static void Main(string[] args)
{
   Test();
}


我们修改上面这段代码,要求 Test() 方法必须是拥有管理员权限才能调用。

1. 我们使用 System.Security.Permissions.PrincipalPermissionAttribute 特性为 Test 方法加上角色验证标记,要求调用用户(Windows 操作系统登录用户)必须是 "Administrators" 组成员。

2. 在 Main 方法中设置线程的主体和标识对象。WindowsIdentity.GetCurrent() 用来获取当前登录用户的标识对象,如果登录用户属于 Adminstrators 组,则 Test() 方法正常调用,否则会触发 SecurityException 异常(我们可以使用 WindowsIdentity.GetAnonymous() 获取匿名用户标识对象来触发该异常)。

[PrincipalPermission(SecurityAction.Demand, Role = "Administrators")]
static void Test()
{
   Console.WriteLine("Test...");
}

static void Main(string[] args)
{
   Thread.CurrentPrincipal = new WindowsPrincipal(WindowsIdentity.GetCurrent());
   Test();
}


我们还可以使用其他的方法来做到这一点。

1. 使用 PrincipalPermission 对象替换 PrincipalPermissionAttribute,我们就可以使用动态权限验证,可以将用户名或者角色参数写入配置文件中。
2. 使用 AppDomain.CurrentDomain.SetThreadPrincipal 设置主体对象和 Thread.CurrentPrincipal 作用相同。我们还可以直接使用 AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal) 让系统自动使用当前登录用户名创建 WindowsPrincipal/WindowsIdentity。

static void Test()
{
   new PrincipalPermission(null, "Administrators").Demand();
   Console.WriteLine("Test...");
}

static void Main(string[] args)
{
   AppDomain.CurrentDomain.SetThreadPrincipal(new WindowsPrincipal(WindowsIdentity.GetCurrent()));
   Test();
}


或者

static void Test()
{
   new PrincipalPermission(null, "Administrators").Demand();
   Console.WriteLine("Test...");
}

static void Main(string[] args)
{
   AppDomain.CurrentDomain.SetPrincipalPolicy(PrincipalPolicy.WindowsPrincipal);
   Test();
}


上面的例子都是基于角色或者组的验证,当然我们还可以基于用户进行验证。

[PrincipalPermission(SecurityAction.Demand, Name="YUHEN//q.yuhen")]
new PrincipalPermission("YUHEN//q.yuhen", null).Demand();


当然,我们还可以同时用 role 和 name。PrincipalPermission 对象比 PrincipalPermissionAttribute 更加灵活,我们可以使用它进行多个权限的并集运算,以及进行 xml 转换等。

下面是使用 GenericPrincipal/GenericIdentity 改写的代码。

//[PrincipalPermission(SecurityAction.Demand, Name="q.yuhen", Role="admins")]
static void Test()
{
   new PrincipalPermission(null, "Administrators").Demand();
   Console.WriteLine("Test...");
}

static void Main(string[] args)
{
   // 创建自定义用户标识对象。
   GenericIdentity identity = new GenericIdentity("q.yuhen");
  
   // 创建主体对象,并指定所拥有的角色数组。
   string[] roles = new string[] { "admins" };
   GenericPrincipal principal = new GenericPrincipal(identity, roles);
  
   // 设定主体。
   AppDomain.CurrentDomain.SetThreadPrincipal(principal);
  
   Test();
}


除了使用上述方法外,某些时候我们并不希望触发 SecurityException 异常,我们希望能给出另外的执行策略,那么可以直接使用 Principal.InRole 以及 Identity.Name 了。

static void Test()
{
   if (Thread.CurrentPrincipal.IsInRole("admins") && Thread.CurrentPrincipal.Identity.Name == "q.yuhen")
   {
     Console.WriteLine("Test...");
   }
   else
   {
     Console.WriteLine("您没有执行权限!");
   }
}


总结一下,基于角色的安全检查有三种方法。

1. 使用命令式安全检查。该方法主要是通过 PrincipalPermission.Demand() 方法进行。
2. 使用声明性安全检查。通过 PrincipalPermissionAttribute 特性指定运行所需角色和用户名。
3. 直接访问 Principal 对象。访问 Thread.CurrentPrincipal 属性获得当前主体和标识对象,并调用其相关方法和属性进行进一步验证。

有关细节可参考 MSDN 文档,角色验证主要用于 ASP.NET 环境,雨痕将在后续 Blog 中做进一步说明。

ASP.NET 安全验证
江亚超的编程技术博客
04-18 374
                                                                    安全验证ASP.NET支持的4种验证模式1.Windows验证:IIS验证,在内联网环境中非常有用。2.Passport验证:微软集中式身份验证,一次登录便可访问所有成员站点,需要收费。3.Form验证:窗体验证验证帐号/密码,Web编程最佳最流行的验证方式。4...
关于.net网站的安全性问题以及解决方案的分析
wujiaolong的专栏
08-13 3840
在面试的时候当面试官问道:“你知道怎么提高网站的安全性吗?”这个问题时,我总是回答的不够完整,所以今天我浏览了各大高手的博客,以及通过看书稍微总结一下,也许还是不完整,希望这方面高手也能出来指点一二。 首先探讨一下,什么是网站的安全性? 就网站而言,因为网站的定义有许多种,所以各种关于网站安全的定义也不同。有的定义为:网站安全就是保护网上保存的数据和流动的数据,不被别人偷看、窃取或者修改。也有
[.NET 基于角色安全性验证] 之一:基础知识
sunchaohuang的专栏
07-04 1002
.NET 基于角色安全性验证的核心是主体(Principal)和标识(Identity)对象,其中主体负责角色或者组的验证,标识对象封装有关正在验证的用户或实体的信息。角色安全性验证通过生成可供当前线程使用的主体信息来支持授权,其中主体用关联的标识进行构造。public interface IPrincipal {  // Methods  bool IsInRole(string role)
ASP.NET安全问题--Forms验证(后篇)--实战篇
weixin_33881753的博客
06-01 164
                                                 ASP.NET安全问题--Forms验证实战篇         前言:通过之前的几篇文章,相信大家对Forms验证有了一定的了解,也清楚了Identity,IPrincipal,票据等概念。之前的文站一直没有把验证和数据库联系起来,本篇就从这方面讲解,用代码来演示!而且代码中也涉及到一些角色授权的...
一个基于角色的WEB 安全访问控制系统
网站开发初中级代码参考-转载
07-13 393
一个基于角色的WEB 安全访问控制系统 赵锐 河北工业职业技术学院计算机技术系软件专业 Email: zr04rj@hotmail.com 摘要 在WEB安全管理上访问控制是一个富有挑战性的问题。本文对基于角色的访问控制模型进行分析并对相关的概念进行了定义,给出了实现模型和算法设计;对现行的Web 安全认证和访问控制中存在的问题和隐患进行了分析,并给出了一种新的可行的安全解决方案。本...
Asp.net中基于角色验证授权
不是程序员
12-03 2496
Asp.net的身份验证有有三种,分别是”Windows | Forms | Passport”,其中又以Forms验证用的最多,也最灵活。Forms 验证方式对基于用户的验证授权提供了很好的支持,可以通过一个登录页面验证用户的身份,将此用户的身份发回到客户端的Cookie,之后此用户再访问这个web应用就会连同这个身份Cookie一起发送到服务端。服务端上的授权设置就可以根据不同目录对不同用户的
ASP.NET Internet安全Forms身份验证方法
01-01
ASP.NET 安全性的工作原理 网站在安全性方面有一个常见的要求:特定的页面仅允许某些成员或其他经过身份验证的用户浏览.充分利用Forms身份验证是最好的方式. 身份验证 从实现机制来说ASP.NET1.1与ASP.NET2.0的安全...
Asp.net中基于Forms验证角色验证授权
09-23
综上所述,在ASP.NET中实施基于Forms验证和基于角色的权限控制是一种强大的策略,可以确保应用的安全性和灵活性。通过自定义登录流程和细粒度的权限管理,开发者能够构建出既易于使用又安全的应用程序。然而,正确...
毕业设计:基于ASP.NET MVC搭建的通用权限后台管理系统.zip
10-11
ASP.NET MVC框架内置了身份验证机制,如Forms Authentication,通过cookie管理用户会话,实现登录、注销等功能。 4. 角色管理:角色管理允许将用户分组并赋予不同的权限级别。例如,管理员、普通用户等。系统可能...
ASP.net Forms验证Demo第1/3页
10-30
通过对ASP.NET Forms验证以及基于此的角色验证授权机制的学习,我们可以更深入地理解ASP.NET安全性特点,并能够在实际项目中更加灵活地应用这些知识。希望本文的内容能够帮助您更好地掌握这一技术,提高您的开发...
Windows Server2003 防木马权限设置IIS服务器安全配置整理
软体疯子专栏
09-20 1665
 信息来源:落伍者论坛参考了网络上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处还请大家多多指点,然后给补上,谢谢!一、系统的安装   1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。2、IIS6.0的安装  开始菜单—>控制面板—>添加或删除程序—>添加/删除W
ASP.NET 安全验证
景泽元的编程博客
04-12 717
一、ASP.NET 支持的四种验证方式1.Windows: IIS验证,在内联网环境中非常重要。2.Passport: 微软集中式验证,一次登录便可访问所有成员站点,需要收费。3.Form:窗体验证验证帐号/密码,Web编程最佳最流行的验证方式。4.None:表示ASP.NET自己根本不执行身份验证,完全依赖IIS身份验证。二、Forms元素的属性三、使用1.创建几个页面2.配置文件 3.登录-...
ASP.NET安全验证
嗳夏晨网络智能化
04-12 308
.安全的必要性1.构造特殊的链接地址,导致文件内的数据泄露;2.数据库泄露;3.安全防范的首要策略:所有的HTTP访问都要经过IIS,所以限制IIS的安全是关键。二.ASP.NET的安全模式1,根据所请求资源的类型,IIS能够自己处理请求,也可以不自己处理请求;2,如果资源请求一个ASP页面,则IIS将请求经过身份验证用户(或匿名用户)的安全令牌一起传递给ASP.NET,接下来发生的事情就取决与...
ASP.NET MVC 随想录——探索ASP.NET Identity 身份验证和基于角色的授权,中级篇
weixin_33693070的博客
09-06 345
在前一篇文章中,我介绍了ASP.NET Identity 基本API的运用并创建了若干用户账号。那么在本篇文章中,我将继续ASP.NET Identity 之旅,向您展示如何运用ASP.NET Identity 进行身份验证(Authentication)以及联合ASP.NET MVC 基于角色的授权(Role-Based Authorization)。 本文的示例,你可以在此下载和预览: ...
asp.net mvc5 基于角色的权限验证
走错路的程序员
10-11 1103
第一步登录的时候写入标准的权限信息到Cookie中. [HttpPost] public ActionResult DoLogin(string username, string password, string yzm, string returnUrl) { SysUser user = DB.FirstOrDefault(x =&...
Asp.Net 用户验证(自定义IPrincipal和IIdentity)
jackeyyang666的专栏
04-30 1054
 Asp.Net 用户验证(自定义IPrincipal和IIdentity)引言前一段时间有两个朋友问我,为什么在HttpModule中无法获得到Session值,因为他们希望自定义一个HttpModule,然后在其中获取Session来进行用户验证。我奇怪为什么不使用.Net Framework已经提供的验证机制,而要和Asp时一样,自己手工进行cookie+Session验证
基于AppDomain的"插件式"开发
weixin_30270561的博客
08-01 443
很多时候,我们都想使用(开发)USB式(热插拔)的应用,例如,开发一个WinForm应用,并且这个WinForm应用能允许开发人员定制扩展插件,又例如,我们可能维护着一个WinService管理系统,这个WinService系统管理的形形色色各种各样的服务,这些服务也是各个"插件式"的类库,例如: public interface IJob { void Ru...
安全性-身份验证和授权(一)之Principal
热门推荐
小猪快跑
02-27 2万+
1.概述为了确保应用程序的安全,安全性有几个重要方面需要考虑。一是应用程序的用户,访问应用程序的是一个真正的用户,还是伪装成用户的某个人?如何确定这个用户是可以信任的?确保应用程序安全的用户方面是一个2个阶段过程: 用户首先需要身份验证 再进行授权,已验证该用户是否可以使用需要的资源对于在网络上存储或发送的数据呢?例如,有人可以通过网络嗅探器访问这些数据吗?这里数据加密很重要。一些技术,如WCF,通
线程池(ThreadPool)
weixin_30883271的博客
08-07 291
线程池概述 由系统维护的容纳线程的容器,由CLR控制的所有AppDomain共享。线程池可用于执行任务、发送工作项、处理异步 I/O、代表其他线程等待以及处理计时器。 线程池与线程 性能:每开启一个新的线程都要消耗内存空间及资源(默认情况下大约1 MB的内存),同时多线程情况下操作系统必须调度可运行的线程并执行上下文切换,所以太多的线程还对性能不利。而线程池其目的是为了减少开启新线程消...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值