응용 프로그램 보안 ASP.Net 관리

종종 웹사이트는 누구나 볼 수 사용할 수 없습니다 페이지를 포함하고 있지만 사용자의 특정 유형에서. 사용자가 실제로 주장하고 이러한 행위를 타인과 공유하는 정보 (예 : 비밀 번호 등)를 기반으로 사람 있는지 확인하는 데 사용되는 연습 참조와 함께 사용자 인증의 이야기가있다. 그는 허가 및 / 또는 인증된 특정 사용자에게 특정 페이지에 액세스할 수있는 권한이 그들에게 할당된 역할에 따라 허용 또는 거부할 수있는 연습 참조의 사용자 권한을 부여하는 대신 말한다.

소프트웨어 보안은 최근 몇 년 동안 큰 관련의 주제입니다. 어떻게 사용자와 자신의 사용 권한을 인증하는 보안 컨텍스트 (보안 컨텍스트) IIS, : 웹 응용 프로그램은 Microsoft 환경에서 실행되면 몇 가지 근본적인 측면을 고려해야합니다.

웹 관리 보안은 인증 및 사용자 인증에 의존해야 할 네트워크의 전형적인 보안 관리와 매우 유사한 활동입니다. 그러나, 웹 보안 다른 플랫폼을 사용하여 고객의 관리를 제공합니다, 당신은 폐쇄된 네트워크 (예 : 사무실에서 윈도우 네트워크 등)보다 적은 제어할 수 있습니다. 사실, 폐쇄된 네트워크 관리자는보다 쉽게​​ 사용할 수있는 다양한 리소스의 사용자에 대한 액세스를 제공하거나 부정, 전체 시스템을 모니터링할 수 있습니다. 하지만 웹 응용 프로그램의 사용자는 더 많은 있으며, 따라서 자신을 인증하고 권한을 부여하는 다른 방법 (외부 인프라 윈도우)가 필요합니다.

Windows 환경에서 웹 응용 프로그램을 개발하여 발생한 첫 번째 안전 문제는 IIS의 보안 컨텍스트를 이해하는 것입니다. 거의 모든 액세스 권한은 IIS를 통해 웹사이트에 전달하고, 모든 Windows 응용 프로그램처럼, IIS는 특정 컨텍스트에서 실행됩니다. IIS가 컴퓨터에 설치되어있는 경우, 설치 프로세스는 보안 ID (보안 정체성)를 별도를 만듭니다.

그리고 '사용 가능한 IIS 우리의 버전이 등록 정보 창을 액세스 및 원격 액세스 및 인증 제어를 클릭하면, 시작, 가상 디렉토리를 선택 실행하는 아래의 신원을 식별합니다. 이 시점에서 그것은 다음과 같은 창이 열립니다

내 컴퓨터에서 볼 수 있듯이 ID는 IUSR입니다.

기본적으로 IIS는 익명 인증을 사용하여 가상 디렉터리를 처리합니다. 이 모드는 우리가 본하고 액세스할 수있는 리소스를 사용할 수있게있는 IIS 사용자를 사용하여 지정하는 것입니다. IIS는 Windows 인증을 포함한 인증의 다른 유형을 지원합니다. 후자의 경우, Windows 사용자 이름과 암호의 모든 잠재 사용자에게 제공합니다. 윈도우 사용자의 보안 메커니즘이 다른 시스템에 사용할 수 없습니다 따라서하기 때문에 그러나, 인증의이 유형은 Windows 사용자와 잘 동작하지만, 다른 운영 체제를 사용하는 사용자에 대해 인증 다른 유형을 사용해야합니다 사용자가 인증하지 못했습니다.

다행히도 ASP.NET은 소위 양식 인증, verisone 1.0에서 도입된 단순하지만 효과적인 도구가 포함되어 있습니다. 그것은 이미 볼 수있는 요소 이외에, 그것도 인증 및 권한 부여의 노드를 포함하는 웹 응용 프로그램의 Web.config 파일에서 설정됩니다. 이러한 노드의 부재에서 ASP.NET은 웹사이트에 접근할 수 있습니다. 이러한 요소가있는 경우 그러나, 현재의 사용자 인증 (일반적으로 사용자가 사용자 이름과 암호를 입력해야합니다 로그인 페이지) 전용 페이지로 리디렉션됩니다.

여기에 이​​들 노드와 샘플 프로그램 Web.config입니다

당신은 그것이 인증 방법으로 사용자가 login.aspx 페이지로 리디렉션하는 양식 페이지로 설정되었다고 볼 수 있습니다.

ASP.NET은 사용자 인증을위한 좋은 지원이 포함되어 있습니다. 이러한 맥락에서 중요한 요소는 다른 측면의 다양한 통해 암호, 인증 쿠키의 창조의 암호화에 이르기까지 다양한 기능의 범위를 제공하는 FormsAuthentication 클래스입니다

ASP.NET에서 안전 문제를 조사하기 위해 당신이 나를 작성한 문서를 참조하고 현재에 초대 이 페이지 .

• <<이전 레슨
• 색인 도움말
• 다음 수업>>