ASP.NET技術(shù)開(kāi)發(fā)中的安全問(wèn)題, 可通過(guò)識別用戶(hù)身份、控制訪(fǎng)問(wèn)權限以及加密數據等方式提高網(wǎng)站開(kāi)發(fā)安全的有效性。
1、識別用戶(hù)身份
ASP.NET網(wǎng)站的識別方式有Window、表單、Passport三種。首先對Window的身份識別進(jìn)行分析, 以IIS服務(wù)器協(xié)助完成, 客戶(hù)必須使用該服務(wù)器與ASP.NET應用程序才能完成身份的識別。識別流程是當該服務(wù)器的用戶(hù)請求被傳送至ASP.NET的應用程序中, 同時(shí)IIS給出驗證信息時(shí)才算完成。一旦用戶(hù)的請求能夠匿名訪(fǎng)問(wèn), 身份識別將不成功;表單形式的身份識別, 要通過(guò)Cookie信息, 便于將用戶(hù)請求信息進(jìn)行傳達, 輸入用戶(hù)名和密碼, 提交信息, 應用程序以保存的數據信息為前提進(jìn)行身份驗證;Passport的身份識別, 是微軟公司更為集中的識別服務(wù), 工作原理與表單類(lèi)似, 要求客戶(hù)要建立相應的Cookies, 才能完成識別, 其優(yōu)勢是能為站點(diǎn)做出簡(jiǎn)單的登錄程序與服務(wù)。
2、控制訪(fǎng)問(wèn)權限
ASP.NET的訪(fǎng)問(wèn)權限與用戶(hù)的身份角色驗證是相對應的, 角色能分配給用戶(hù)。普遍情況下, 用戶(hù)與訪(fǎng)問(wèn)權限之間沒(méi)有關(guān)系, 主要是基于角色的基礎加強聯(lián)系, 從而也給用戶(hù)一個(gè)訪(fǎng)問(wèn)的權限。角色可以包括很多用戶(hù), 形成的邏輯分離使計算機管理的安全系數增強。但是, 仍值得注意的是, ASP.NET技術(shù)的用戶(hù)和角色管理都很強大, 角色技術(shù)需不斷更新和完善。同時(shí)還要考慮將ASP.NET網(wǎng)站開(kāi)發(fā)與網(wǎng)頁(yè)服務(wù)器結合的因素, 只有二者實(shí)現完美的結合, 用戶(hù)的信息數量才能豐富。此外, 在開(kāi)發(fā)過(guò)程中, 還能以不同用戶(hù)角色為依據, 設置系統顯示的界面, 因為用戶(hù)角色的差異, 系統顯示的界面也會(huì )存在差異。只有設置訪(fǎng)問(wèn)的權限, 才能真正將保障用戶(hù)權益落實(shí)。以此為基礎, 用戶(hù)才能更加穩定的進(jìn)行程序的操作;對那些沒(méi)有獲得權限的用戶(hù)來(lái)說(shuō), 及時(shí)將他們阻擋在外, 提高用戶(hù)信息的安全性。
3、加密重要數據
當前, 眾多以網(wǎng)絡(luò )為前提開(kāi)發(fā)的應用程序都要求建立用戶(hù)賬戶(hù), 用戶(hù)只有登錄賬戶(hù)才能獲得使用的權利。但是, 這樣一來(lái), 網(wǎng)站需要對用戶(hù)賬戶(hù)和密碼的安全負責, 一旦發(fā)生用戶(hù)信息泄漏的問(wèn)題, 將給用戶(hù)造成巨大的損失。ASP.NET開(kāi)發(fā)過(guò)程中可為用戶(hù)的密碼提供加密操作, 進(jìn)而提升密碼設置的安全性能。用戶(hù)在密碼的設置上不需要通過(guò)明文存儲, 只要用戶(hù)進(jìn)行登錄操作時(shí), 在客戶(hù)輸入密碼后添加一次加密服務(wù), 將密碼信息的再輸入信息與信息庫中加密的密碼進(jìn)行比較, 就能為用戶(hù)的認證信息提供保障, 這種操作程序為ASP.NET網(wǎng)站的開(kāi)發(fā)提供了安全保障