Лекция: Безопасность в ASP.NET. Принципы идентификации и аутентификации. Авторизация

ASP.NET в сочетании со службами Microsoft Internet Information Services (IIS) может выполнять проверку подлинности учетных данных пользователя, например имен и паролей, используя любой из перечисленных ниже методов проверки подлинности.

• Windows: стандартная, шифрованная или встроенная проверка подлинности Windows (NTLM или Kerberos).
• Проверка подлинности в формах, в которых разработчик создает страницу входа и управляет проверкой подлинности в приложении.
• Проверка подлинности с помощью сертификатов клиента.

ASP.NET контролирует доступ к информации на веб-узле путем сравнения учетных данных, прошедших проверку подлинности, или их представлений с разрешениями файловой системы NTFS либо с XML-файлом, в котором перечислены авторизованные пользователи, авторизованные роли (группы) или авторизованные команды HTTP.

Обеспечение безопасности веб-узлов — это важный и сложный вопрос для веб-разработчиков. Защита веб-узлов требует тщательного планирования, поэтому администраторы и программисты должны иметь четкое представление о возможностях защиты веб-узла.

Чтобы обеспечить безопасность веб-приложений, ASP.NET используется совместно с Microsoft .NET Framework и службами Microsoft Internet Information Services (IIS).Для создания безопасного приложения ASP.NET следует выполнить две основные функции, которые описаны в представленной ниже таблице.

В процессе авторизации определяется, можно ли конкретному пользователю предоставить доступ к указанному ресурсу. В ASP.NET существует два основных способа авторизации доступа к заданному ресурсу:

· Авторизация файла Авторизация файла выполняется модулем FileAuthorizationModule.

· Авторизация URL-адреса Авторизация URL-адреса выполняется модулем UrlAuthorizationModule, который сопоставляет пользователей и роли URL-адресам в приложениях ASP.NET.