kj09-03.txt

asp.net(适用于高职高专教学)电子教案

    在Internet上，绝大多数Web站点都是允许任何用户随意访问的。但是，也有少量的Web站点，出于赢利或保密的目的，只允许拥有合法凭证（一般指账号和密码）的用户访问。对于这类站点，必须考虑其安全性。
    一般而言，安全性包含两部分内容，一是身份确认，称为认证（Authenticate）；另一部分则是资源访问权限确认，称为授权（Authorize）。
    可以认为，认证和授权是保护Web站点的两把锁，拥有两把钥匙的人才能顺利访问被保护的资源。在有关Web站点安全性的应用上，通常用“认证”机制保护一般资源（通过认证者将被全部被授权），用授权保护特殊资源（通过认证者中，只有部分用户被授权）。
    在数据库中存储账号、密码、使用权限等信息后，于ASP.NET页面中置入适当的程序，可以完成对身份和访问权限的检查，将不速之客拒之门外。在Web.config文件中写入必要的信息，然后辅之以必要的代码，也可实现同样的功能。
    下面是一个利用配置文件实现的Web站点安全保护模块。该模块的设计思路是，将认证和授权信息存储在配置文件中，当用户请求首次访问任一受保护的页面时，将被自动重定向到一个要求输入账号和密码的登录页面，待用户提供合法的身份标识后，方可访问受保护的页面。    该模块包括Web.config、Prac09-02.aspx（被保护页面）和Login.aspx（登录页面）等3个文件。在实际应用中，所有在上述文件所在目录或在此目录的子目录中的.aspx文件都能够被自动保护，而不需要进行任何额外设置。