在B/S系統(tǒng)開發(fā)中,經(jīng)常需要使用“身份驗證”。因為web應(yīng)用程序非常特殊,和傳統(tǒng)的C/S程序不同,默認(rèn)情況下(不采用任何身份驗證方式和權(quán)限控制手段),當(dāng)你的程序在互聯(lián)網(wǎng)/局域網(wǎng)上公開后,任何人都能夠訪問你的web應(yīng)用程序的資源,這樣很難保障應(yīng)用程序安全性。通俗點來說:對于大多數(shù)的內(nèi)部系統(tǒng)、業(yè)務(wù)支撐平臺等而言,用戶必須登錄,否則無法訪問和操作任何頁面。而對于互聯(lián)網(wǎng)(網(wǎng)站)而言,又有些差異,因為通常網(wǎng)站的大部分頁面和信息都是對外公開的,只有涉及到注冊用戶個人信息的操作,或者網(wǎng)站的后臺管理等才需要提示登錄。(如果不做嚴(yán)格驗證,后果將很嚴(yán)重,人家一旦猜出你web目錄下面的頁面名,可以隨意訪問。當(dāng)然,一般的開發(fā)人員是不會犯這種低智商的錯誤的)。
如何實現(xiàn)“身份驗證”
記得N年前我最早接觸Servlet + JSP開發(fā)的時候,有一種叫做“過濾器”(Filter)的東西,真是很神奇。有了這件神奇的東西后,我再也不需要去每個頁面判斷什么“session”或者“cookie”了,就能把未登錄用戶給彈出去(水平實現(xiàn)有限)。當(dāng)然,在傳統(tǒng)webform開發(fā)中,也可以寫一個“BasePage的雞肋”,在該類中去做判斷,讓每個頁面對應(yīng)的類都去實現(xiàn)這個"雞肋",我看以前很多公司都是這么干的。
在asp.net中,其實微軟提供了一整套的完整的機制來實現(xiàn)“成員角色管理”。包含有:”登錄控件”、“membership”、“個性化數(shù)據(jù)庫”等等。但是大多數(shù)開發(fā)人員是從來不用這些的(例如我,用微軟的asp.net三四年,還從來沒見過“登錄控件”長啥樣)。在asp.net身份驗證中,主要有三四種。因為有些身份驗證的方式是依賴于IIS和windows操作系統(tǒng)的,所以在不同版本的操作系統(tǒng)和IIS上還是有些差異的。由于筆者暫時使用的是windows 7的操作系統(tǒng),所以就拿IIS 7.5為例子。
首先打開IIS,然后雙擊右側(cè)“身份驗證”,會顯示出當(dāng)前IIS支持的所有的身份驗證方式(由于我安裝IIS時候,在“安全性”那里我是全部勾選的)??梢钥吹饺鐖D:
大致分為如下幾種:
1.活動目錄的客戶端證書(這個很可能是收費的),不常用,不細(xì)說。
2.ASP.NET模擬(MSDN:如果要在 ASP.NET 應(yīng)用程序的非默認(rèn)安全上下文中運行 ASP.NET 應(yīng)用程序,請使用 ASP.NET 模擬。),機器人說的我聽不懂。
3.Form身份驗證:這個用的很多,后面會細(xì)說。
4.windows身份驗證:基于windows操作系統(tǒng)的用戶或者域用戶的身份驗證。
5.基本身份驗證:其實也是基于windows操作系統(tǒng)的賬戶驗證的。
6.匿名身份驗證:誰都可以訪問,其內(nèi)部也是通過指定一個特定的windows系統(tǒng)的user賬戶來訪問的。
7.摘要身份驗證:使用 Windows 域控制器對請求訪問 Web 服務(wù)器內(nèi)容的用戶進行身份驗證。
再來看看經(jīng)典的 IIS 6的截圖:
注:.NET Passport 可以理解為微軟對“單點登錄”的一種實現(xiàn)方案,這里不細(xì)說。
先在IIS 7上測試一下基本身份驗證:
首先把其他的身份驗證方式全部禁用掉,然后僅僅啟用“基本身份驗證”。有圖有真相:
然后打開IE、FireFox、chrome等瀏覽器,敲入localhost,等待打開IIS上的默認(rèn)網(wǎng)站。你會發(fā)現(xiàn),瀏覽器端都會彈出提示框信息,而且在不同瀏覽器上彈出框的樣式和表現(xiàn)形式也有所差異。(長期不用IE,發(fā)現(xiàn)360這個老流氓把哥的首頁給改了,還號稱”安全上網(wǎng)“,這明顯是篡改行為嘛。搞不懂。)
FireFox中:
如果你在彈出框中,輸入正確的windows賬戶和密碼,則可以正常的瀏覽你請求的網(wǎng)頁。如果你不輸或者輸錯了,等待你的將是401錯誤(401,你懂得)。
“沒有為網(wǎng)站啟用SSL,將通過電纜以明文的方式.....”,機器人說的話聽起來很別扭,這里,我解釋一下。
當(dāng)你沒有花錢去買SSL證書(安全套接層,你可以簡單的理解為:正常http請求都是明文傳送,使用SSL后可以幫你把http報文自動加密,就算有人在互聯(lián)網(wǎng)上截獲了也無法解密。我們偶爾訪問有些網(wǎng)站的時候,看到的“https://www.xxx.com”,就極可能是基于SSL證書的形式)。至于“通過電纜以明文的方式...”,其實這句話說的很不對,首先,電纜只是一種傳輸介質(zhì),里面?zhèn)魉偷闹皇请娒}沖、光信號等等,而不是網(wǎng)絡(luò)協(xié)議報文(學(xué)過計算機網(wǎng)絡(luò)的都知道)。至于說“采用明文的形式”,也不對,其實“基本身份驗證”中,是將用戶名和密碼采用了Base64編碼的,感興趣的讀者,可以用httpwatch或者Fiddler之類的工具去監(jiān)視一下http請求,我這里就不做演示了 。只是由于Base 64編碼很容易反編碼,所以和明文沒啥區(qū)別。這樣一來,你會發(fā)現(xiàn)“基本身份驗證”方式,確實存在很多不安全因素。
在IIS 7上測試一下windows 身份驗證:
和之前的基本身份驗證差不多,我就不再截圖演示了。如果用戶輸入正確的windows用戶名和密碼,則能夠正常訪問網(wǎng)站。如果輸入錯誤的,則返回的401.1(前面基本身份驗證是401.2)。值得一提的就是,記得之前有位asp.net MVP 曾告訴過我,使用windows身份驗證的時候,只能用戶在使用IE瀏覽器時候才能夠正常訪問。因為這種情況下,不是使用http報文傳輸?shù)男问?,而是瀏覽器端直接與操作系統(tǒng)內(nèi)部交互,進行用戶名和密碼的驗證。經(jīng)過證實,發(fā)現(xiàn)這話的后半句是對的,確實監(jiān)視不到http實體內(nèi)容。但不僅僅局限于IE瀏覽器,我在firefox中也能夠正常的訪問和使用。
匿名身份驗證:
所謂匿名身份驗證,其實就可以理解為“不驗證”。就是匿名用戶都可以訪問資源,沒有任何限制。通常我們的網(wǎng)站,都要啟用匿名方式驗證,集成windows身份驗證。不難發(fā)現(xiàn),其實匿名身份驗證,也是通過windows用戶組里面的一個特定的用戶來通過驗證的,如圖所示:
最后一種,Form身份驗證:
前面所講的那些身份驗證方式,其實都和asp.net沒有直接的聯(lián)系,都是IIS 和操作系統(tǒng)級別的驗證方式。而Form 身份驗證,則需要asp.net提供支持。因為通常網(wǎng)站的身份驗證和成員管理都非常復(fù)雜,而不是通過單純的某一種驗證方式能夠?qū)崿F(xiàn)的。對于大部分互聯(lián)網(wǎng)的網(wǎng)站而言,用戶可以訪問部分頁面,但部分頁面必須登錄后才能訪問和操作,而且不同用戶角色登錄,操作權(quán)限也不一樣。這又會涉及到很多方面的知識,而且實現(xiàn)方式也有很多種。
由于篇幅和時間有限,今天就先到此。后期我再詳細(xì)地去整理關(guān)于Form身份驗證的詳細(xì)及成員管理,權(quán)限管理方面的文章,敬請期待。
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助。
您可能感興趣的文章:- asp.net 身份驗證(最簡單篇)
- asp.net 身份驗證(分目錄驗證篇)
- asp.net Forms身份驗證和基于角色的權(quán)限訪問
- asp.net forms身份驗證,避免重復(fù)造輪子
- ASP.NET Internet安全Forms身份驗證方法
- Asp.Net二級域名共享Forms身份驗證、下載站/圖片站的授權(quán)訪問控制
- asp.net身份驗證方式介紹
- asp.net 身份驗證機制實例代碼
- Asp.net Mvc 身份驗證、異常處理、權(quán)限驗證(攔截器)實現(xiàn)代碼
- asp.net中幾種常用的身份驗證方法總結(jié)
- ASP.NET窗體身份驗證詳解