ASP_NET用户权限管理研究.pdf

DATABASE AND INFORMATION MANAGEMENT 数据库与信息管理进入Web2.0 时代以来，用户相关的Web 应用系统在网络中可谓遍地开花，深入到了Web 应用世界的每一个角落，这主要得益于ASP.NET、Java 和PHP 这3 大主流动态网页开发技术的成熟。其中ASP.NET 以其运行速度快、开发速度快（主要得益于Visual Studio 这个无与伦比的开发平台）等特点赢得了众多企业的青睬。目前ASP.NET 中的用户权限管理过程大多是仁者见仁，智者见智，在ASP.NET 如何进行有效的用户权限管理，是一个非常值得研究的问题。1 网站级用户权限管理网站级权限管理主要是确定用户是否具有访问网站的权限。网站访问的验证分为两步。首先是IIS 执行用户验证，IIS 验证通过后ASP.NET 才开始执行自身的验证。网站级用户权限管理就是对IIS 验证进行配置，在第一步就决定用户能不能访问网站，能访问网站时有多大的权限。在IIS5.5 信息服务管理器中右键单击网站后选择属性，在属性面板中单击目录安全性选项卡，得到如图1 所示的界面, 从图1 中可以看出，IIS5.5 有3 种访问限制方式，分别是匿名访问和身份验证机制、IP 地址和域名映射及安全通信。这3 种方式中用得比较多的是第一种，单击编辑按钮，会打开如图2 所示的界面。在此界面中，有3 种身份验证方式，分别是匿名访问、基本身份验证和集成Windows 身份验证。IIS6.0 后的版本有更多的方式，这里不再列出。1.1 匿名访问如果选中匿名访问，则IIS 验证将会通过，并把可能的用户证书传递给ASP.NET。进行网站级权限管理的要点是设置好匿名访问使用的用户帐户，此帐户是IIS 服务所驻留的Web 服务器上的合法帐户，帐户的权限决定了此Web 应用系统在服务器上所能进行的操作。如果选择Administrator 权限的帐户，则此Web 应用程序能够访问服务器上的所有资源，通常情况下不选择它。可以单击浏览按钮，找到并选择IUSER 这个帐户或其他帐户，所选帐户的权限一方面要使Web 应用程序能尽量利用服务器上的资源，最低要保证不影响Web 应用程序的功能，另一方面要能控制其不加限制的访问。1.2 基本身份验证这种验证方式完全是把用户名和密码用明文（经过base64 编码，但是base64 编码不是加密的，经过转换就能转换成原始的明文）传送到服务端验证。服务器直接验证服务ASP.NET 用户权限管理研究向雄（广州大学华软软件学院，广州510990 ）摘要：现今大多数Web 应用系统都是与用户相关的，这就带来了如何对用户权限进行管理的问题，特别是一些对安全问题有较高要求的应用，如电子商务系统等。深入分析了ASP.NET 中的角色管理机制，提出了一个权限分级的思想，给出了一个基于角色进行权限管理的一般过程。关键词：RABC；角色控制；ASP.NET；权限管理The Research of User Right Management in ASP.NET XIANG Xiong （South china institute of software engineering , Guangzhou 510990）Abstract：Most Web applications today are associated with the user, which brought about the challenges of how to manage user rights, especially on security issues have high requirements for applications such as e-commerce systems. In this paper, in-depth analyses ASP.NET role management mechanism , and an authority classification proposed idea is given and show a common process of the role-based access management. Key words：RABC ; Role Management ; ASP.NET ; Right Management 本文收稿日期：2010-02-10 图1 网站属性界面35- -电脑编程技巧与维护器本地是否有用户跟客户端提供的用户名和密码相匹配的，如果有则通过验证。1.3 集成Windows 身份验证使用该方法将自动创建一个WindowsPrincipal 对象（封装