十一、ASP.NET站点配置与安全（二）

用户密码加密

1、MD5：Message-Digest algorithm 5（消息摘要算法第五版）为计算机安全领域广泛使用的一种散列函数，用以提供消息的完整性保护。MD5是计算机广泛使用的摘要算法之一。

2、MD5算法具有以下特点：

（1）压缩性：任意长度的数据，算出的MD5值长度都是固定的。

（2）容易计算：从原数据计算出MD5值很容易。

（3）不可逆性：可以从原数据计算出MD5值，但是不可将MD5值还原为原数据。

（4）抗修改性：对原数据进行任何改动，哪怕只修改1个字节，所得到的MD5值都有区别。

（5）强抗碰撞：已知原数据和其MD5值，想找到一个具有相同MD5值的数据是非常困难的。

3、MD5类在System.Security.Cryptography命名空间中

4、使用MD5类的ComputeHash()方法进行加密，注意：此方法的参数和返回值均为byte[]类型

5、可以使用FormsAuthentication.HashPasswordForStoringInConfigFile()方法替代MD5类的ComputeHash()方法用来加密字符串。FormsAuthentication类在System.Web.Security命名空间中。

站点的发布和部署

1、发布：是修改站点配置以适应生产环境，并将源代码进行编译，生成程序集的过程。

2、部署：是将已发布的站点，通过IIS等Web服务器软件运行起来的过程。

3、熟悉站点部署前的准备工作，包括配置Web服务器、修改连接字符串、配置服务器上文件系统的访问权限、配置服务器报错信息的显示方式等操作。

4、使用配置节来配置服务器报错的显示方式，每个错误状态码对应一种类型的错误，可以使用不同的页面显示不同场合下的错误信息。

5、配置节的Mode属性有三种取值：

  （1）On，开启友好报错方式。此模式下，远程客户端和服务器端都能看到友好的（即用户自定义的）报错页面。

  （2）Off，关闭自定义报错。此模式下，远程客户端和服务器端均不能看到友好的（即用户自定义的）报错页面，只能看到服务器默认的报错、调试信息。简单来说，配置为Off时，配置节不起作用。

  （3）RemoteOnly，仅远程方式。“友好报错”处于半开启状态，此模式下，远程客户端看见友好报错信息，服务器计算机上看到的是默认的报错、调试信息。这是生产环境中最推荐的方式。

【扩展知识】appSettings配置节

1、ConfigurationManager类：配置管理类。在System.Configuration命名空间中，需要添加引用：System.configuration。

2、可以使用ConfigurationManager类的静态集合属性AppSettings来读取web.config文件中的配置节中添加的键值对。

3、ConfigurationManager类的AppSettings属性对配置文件的访问是只读的。因此无法在程序运行过程中动态修改配置文件的值，这是ASP.Net的一种安全特性。