ASP.NET 安全性
总结
本章提供用于构建安全的 ASP.NET Web 应用程序的指南和建议。本章提供的大多数指南和建议同样适用于开发 ASP.NET Web 服务和由 ASP.NET 驻留的 .NET Remoting 对象。
内容
ASP.NET 安全体系结构
ASP.NET 与 IIS、.NET 框架和操作系统所提供的基础安全服务配合使用,共同提供一系列身份验证和授权机制。图 8.1 中总结了这些情况。
图 8.1 ASP.NET 安全服务
图 8.1 阐释了 IIS 和 ASP.NET 所提供的身份验证和授权机制。当客户端发出 Web 请求时,就会发生下面一系列身份验证和授权事件:
网关守卫
ASP.NET Web 应用程序中的授权点(或关守)是由 IIS 和 ASP.NET 提供的:
IIS
如果关闭了匿名身份验证,则 IIS 只允许来自特定用户的请求,即它可以在其自己的域或受信任域中验证这些用户的身份。
对于静态文件类型(例如 .jpg、.gif 和 .htm 文件,即没有映射到 ISAPI 扩展的文件),IIS 使用与所请求文件关联的 NTFS 权限执行访问控制。
ASP.NET
ASP.NET 关守包括 UrlAuthorizationModule、FileAuthorizationModule 以及主体权限要求和角色检查。
UrlAuthorizationModule
FileAuthorizationModule
可以配置应用程序 Web.config 文件中的 <authorization> 元素,控制哪些用户和用户组可以访问应用程序。授权是以存储在 HttpContext.User 中的 IPrincipal 对象为基础。
对于由 IIS 映射到 ASP.NET ISAPI 扩展 (Aspnet_isapi.dll) 的文件类型,使用已验证用户的 Windows 访问令牌(可能为 IUSR_MACHINE),根据附加到所请求的 ASP.NET 文件中的 ACL 自动执行访问检查。
注意:要进行文件授权,并不要求模拟.
FileAuthorizationModule 类仅对所请求的文件执行访问检查,而不对所请求页面中的代码访问的文件执行访问检查,但 IIS 对这些文件执行访问检查。
例如,如果您请求 Default.aspx 并且它包含一个嵌入的用户控件 (Usercontrol.ascx),该控件又包含一个图像标记(指向 Image.gif),则 FileAuthorizationModule 对 Default.aspx 和 Usercontrol.ascx 执行访问检查,因为 IIS 将这些文件类型映射到 ASP.NET ISAPI 扩展。
FileAuthorizationModule 不对 Image.gif 执行检查,因为它是由 IIS 内部处理的静态文件。但是,由于 IIS 对静态文件执行访问检查,因此,仍须使用进行相应配置的 ACL 给已验证用户授予读取该文件的权限。
图 8.2 中显示了此方案。
系统管理员注意事项:需要给已验证用户授予读取此方案中涉及的所有文件的 NTFS 权限。唯一的变化是使用哪个关守来执行访问控制。ASP.NET 进程帐户只需要读取 ASP.NET 注册文件类型的访问权限。
图 8.2 IIS 和 ASP.NET 关守一起使用
在此方案中,您可以在文件入口处禁止访问。如果您配置了附加到 Default.aspx 的 ACL 并且拒绝访问某个特定的用户,则 Default.aspx 中的代码无法将用户控件或任何嵌入图像发送到客户端。如果该用户直接请求图像,则 IIS 亲自执行访问检查。
主体权限要求和明确的角色检查
除了可以用 IIS 和 ASP.NET 配置的关守外,还可以将主体权限要求(以声明方式或编程方式)用作附加的细分访问控制机制。通过使用主体权限检查(由 PrincipalPermissionAttribute 类执行),您可以根据各个用户的标识和组成员身份(由附加到当前线程的 IPrincipal 对象定义)控制对类、方法或个别代码块的访问。
注意:用于请求角色成员身份的主体权限要求与调用 IPrincipal.IsInRole 来测试角色成员身份不同;如果调用方不是指定角色的成员,则前者产生异常,而后者仅返回一个布尔值以确认角色成员身份。
在 Windows 身份验证中,ASP.NET 自动将一个代表已验证身份用户的 WindowsPrincipal 对象连接到当前的 Web 请求(使用 HttpContext.User)。表单身份验证和 Passport 身份验证创建具有相应标识但没有角色的 GenericPrincipal 对象,并将它附加到 HttpContext.User。
更多信息
- 有关配置安全性的详细信息,请参见本章后面的“配置安全性”。
- 有关编程安全性(和 IPrincipal 对象)的详细信息,请参见本章后面的“编程安全性”。
身份验证和授权策略
ASP.NET 提供了若干以声明方式和编程方式进行授权的机制,这些机制可与各种身份验证方案配合使用。这样,您就可以开发深入的授权策略以及可以配置为提供各种粒度级别(例如,基于角色的每用户或每用户组)的授权策略。
本节说明一组常用身份验证选项的可用授权选项(可进行配置和编程)。
下面概述了身份验证选项:
|
<identity impersonate="true"/>
<identity impersonate="true" userName="Bob" password="pwd" />
第一种配置导致模拟原调用方(已由 IIS 验证了身份),而第二种配置导致模拟标识 Bob。由于以下两个原因,建议不要使用第二种配置:
下一个 .NET 框架版本将取消这两个限制。
带模拟的 Windows 身份验证
以下配置元素向您显示了如何明确启用 Web.config 或 Machine.config 中的 Windows (IIS) 身份验证和模拟。
注意:应根据每个应用程序的具体情况,在应用程序的 Web.config 文件中配置身份验证。
<authentication mode="Windows" />
<identity impersonate="true"/>在此配置中,ASP.NET 应用程序代码模拟已由 IIS 验证身份的调用方。
可配置的安全设置
当您将 Windows 身份验证和模拟功能一起使用时,就可以使用下列授权选项:Windows ACL
- 客户端请求的资源。ASP.NET FileAuthorizationModule 对映射到 ASP.NET ISAPI 的请求文件类型执行访问检查。它使用原调用方的访问令牌和附加到请求资源的 ACL 以便执行访问检查。
对于静态文件类型(没有映射到 ISAPI 扩展),IIS 使用调用方的访问令牌和附加到文件的 ACL 执行访问检查。- 应用程序访问的资源。可以根据原调用方,在应用程序访问的资源(文件、文件夹、注册表项和 Active Directory 对象等)上配置 Windows ACL。
URL 授权 在 Web.config 中配置 URL 授权。在 Windows 身份验证中,用户名采用 DomainName"UserName 的格式,并且角色与 Windows 组一一对应。
<authorization>
<deny user="DomainName"UserName" />
<allow roles="DomainName"WindowsGroup" />
</authorization>Enterprise Services (COM+) 角色。角色保存在 COM+ 目录中。可以使用“组件服务”管理工具或脚本配置角色。
编程安全性
编程安全性是指 Web 应用程序代码中的安全检查。在您使用 Windows 身份验证和模拟功能时,可以使用下列程序安全设置选项:PrincipalPermission 请求
- 命令性(嵌入方法的代码内)
PrincipalPermission permCheck = new PrincipalPermission(
null, @"DomainName"WindowsGroup");
permCheck.Demand();- 声明性(属性位于接口、类和方法之前)
[PrincipalPermission(SecurityAction.Demand,
Role=@"DomainName"WindowsGroup)]明确的角色检查 您可以使用 IPrincipal 接口执行角色检查。
IPrincipal.IsInRole(@"DomainName"WindowsGroup");Enterprise Services (COM+) 角色 可以使用 ContextUtil 类以编程方式执行角色检查。ContextUtil.IsCallerInRole("Manager")
何时使用
使用 Windows 身份验证和模拟的情况:
- 应用程序的用户已经有了可以由服务器验证的 Windows 帐户。
- 您需要将原调用方的安全性上下文传递到 Web 应用程序的中间层和/或数据层以支持细分(每用户)授权。
- 您需要将原调用方的安全性上下文传递到下游各层以支持操作系统级审核。
在应用程序中使用模拟之前,确保将此方法与使用受信任的子系统模型进行比较,了解此方法的优缺点。第 3 章“身份验证和授权”中的“选择资源访问模型”详细阐述了这些内容。
模拟的缺点包括:
- 由于无法有效地对数据库连接进行池处理,因而降低了应用程序的可伸缩性。
- 由于需要给各个用户配置后端资源的 ACL,因而增加了管理工作。
- 委派需要 Kerberos 身份验证和进行适当配置的环境。
更多信息
- 有关 Windows 身份验证的详细信息,请参见本章后面的“Windows 身份验证”。
- 有关模拟的详细信息,请参见本章后面的“模拟”。
- 有关 URL 授权的详细信息,请参见本章后面的“URL 授权注意事项”。
- 有关 Enterprise Services (COM+) 角色的详细信息,请参见第 9 章“Enterprise Services 安全性”。
- 有关 PrincipalPermission 要求的详细信息,请参见本指南“入门”部分的“主体”。
不带模拟的 Windows 身份验证
下列配置元素显示了如何在 Web.config 中明确声明启用不带模拟功能的 Windows (IIS) 身份验证。
<authentication mode="Windows" />
<!-- The following setting is equivalent to having no identity element -->
<identity impersonate="false"/>可配置的安全设置
当您使用不带模拟的 Windows 身份验证时,可以使用以下授权选项:Windows ACL
- 客户端请求的资源。ASP.NET FileAuthorizationModule 对映射到 ASP.NET ISAPI 的请求文件类型执行访问检查。它使用原调用方的访问令牌和附加到请求资源的 ACL 以便执行访问检查。模拟不是必需选项。
对于静态文件类型(没有映射到 ISAPI 扩展),IIS 使用调用方的访问令牌和附加到文件的 ACL 执行访问检查。- 应用程序访问的资源。根据 ASP.NET 进程标识,在应用程序所访问的资源(文件、文件夹、注册表项和 Active Directory 对象)上配置 Windows ACL。
URL 授权 在 Web.config 中配置 URL 授权。在 Windows 身份验证中,用户名采用 DomainName"UserName 的格式,并且角色与 Windows 组一一对应。
<authorization>
<deny user="DomainName"UserName" />
<allow roles="DomainName"WindowsGroup" />
</authorization>程序安全性
可以使用下列编程安全选项:主体权限要求
- 命令性
PrincipalPermission permCheck = new PrincipalPermission(
null, @"DomainName"WindowsGroup");
permCheck.Demand();- 说明性
[PrincipalPermission(SecurityAction.Demand,
Role=@"DomainName"WindowsGroup")]明确的角色检查 您可以使用 IPrincipal 接口执行角色检查。
IPrincipal.IsInRole(@"DomainName"WindowsGroup");
何时使用
使用不带模拟的 Windows 身份验证的情况:
- 应用程序的用户已经有了可以由服务器验证的 Windows 帐户。
- 需要使用固定标识来访问下游资源(例如数据库)以便支持连接池。
更多信息
- 有关 Windows 身份验证的详细信息,请参见本章后面的“Windows 身份验证”。
- 有关 URL 授权的详细信息,请参见本章后面的“URL 授权注意事项”。
- 有关 PrincipalPermission 要求的详细信息,请参见本指南“入门”部分的“主体”。
使用固定标识的 Windows 身份验证
Web.config 中的 <identity> 元素支持可选的用户名和密码属性,这样,您就可以为应用程序配置特定的固定标识以进行模拟。这显示在以下配置文件片段中。
<identity impersonate="true" userName="DomainName"UserName"
password="ClearTextPassword" />何时使用
对于安全环境中的当前 .NET 框架版本(版本 1),由于以下两个原因,建议不要使用此方法:
- 不应以纯文本形式将用户名和密码存储在配置文件中,尤其是存储在虚拟目录中的配置文件。
- 在 Windows 2000 上,此方式将强制您授予 ASP.NET 进程帐户“充当操作系统的一部分”权限。一旦攻击者攻击 Web 应用程序进程,这将会降低 Web 应用程序的安全性并增加潜在的威胁。
.NET 框架 1.1 版将在 Windows 2000 上提供此方案的改进版本:
- 凭据将进行加密。
- 登录将由 IIS 进程执行,这样 ASP.NET 就不需要“充当操作系统的一部分”权限了。
表单身份验证
以下配置元素显示了如何在 Web.config 中以声明方式启用表单身份验证。
<authentication mode="Forms">
<forms loginUrl="logon.aspx" name="AuthCookie" timeout="60" path="/">
</forms>
</authentication>可配置的安全设置
在使用表单身份验证时,可以使用以下授权选项:Windows ACL
- 客户端请求的资源。请求的资源需要 ACL 以允许对匿名 Internet 用户帐户进行读取访问。(在使用表单身份验证时,应该将 IIS 配置为允许匿名访问)。
无法使用 ASP.NET 文件授权,因为它需要 Windows 身份验证。- 应用程序访问的资源。根据 ASP.NET 进程标识,在应用程序所访问的资源(文件、文件夹、注册表项和 Active Directory 对象)上配置 Windows ACL。
URL 授权
在 Web.config 中配置 URL 授权。在表单身份验证中,用户名的格式取决于自定义数据存储、SQL Server 数据库或 Active Directory。
- 如果使用的是 SQL Server 数据存储:
<authorization>
<deny users="?" />
<allow users="Mary,Bob,Joe" roles="Manager,Sales" />
</authorization>
- 如果使用 Active Directory 作为数据存储,则以 X.500 格式显示用户名和组名:
<authorization>
<deny users="[email protected]" />
<allow roles ="CN=Smith James,CN=FTE_northamerica,CN=Users,
DC=domain,DC=corp,DC=yourCompany,DC=com" />
</authorization>
程序安全性
可以使用下列编程安全选项:主体权限要求
- 命令性
PrincipalPermission permCheck = new PrincipalPermission(
null, "Manager");
permCheck.Demand();
- 说明性
[PrincipalPermission(SecurityAction.Demand,
Role="Manager")]明确的角色检查 您可以使用 IPrincipal 接口执行角色检查。
IPrincipal.IsInRole("Manager");
何时使用
表单身份验证最适合于 Internet 应用程序。如果出现以下情况,则应该使用表单身份验证:
- 应用程序用户没有 Windows 帐户。
- 您希望用户通过使用 HTML 表单输入凭据的方式登录到应用程序。
更多信息
- 有关表单身份验证的详细信息,请参见本章后面的“表单身份验证”。
- 有关 URL 授权的详细信息,请参见本章后面的“URL 授权注意事项”。
Passport 身份验证
以下配置元素显示了如何在 Web.config 中以声明方式启用 Passport 身份验证。
<authentication mode="Passport" />何时使用
如果应用程序用户没有 Windows 帐户,并且您希望实现单次登录解决方案,则应该在 Internet 上使用 Passport 身份验证。如果用户以前使用 Passport 帐户在参与的 Passport 站点进行登录,则不必登录到使用 Passport 身份验证配置的站点。
配置安全性
本节说明配置 ASP.NET Web 应用程序安全性所需的实际步骤。图 8.3 中总结了这些情况。
图 8.3 配置 ASP.NET 应用程序安全性
配置 IIS 设置
要配置 IIS 安全性,您必须执行以下步骤:
配置 ASP.NET 设置
应用程序级别配置设置保存在 Web.config 文件中,这些文件位于应用程序的虚拟根目录或者(可选)其他子文件夹中(这些设置有时可以覆盖父文件夹设置)。
1. 配置身份验证。应该在应用程序虚拟根目录下的 Web.config 文件中基于每个应用程序对它进行设置(而不是在 Machine.config 中)。
<authentication mode="Windows|Forms|Passport|None" />2. 配置模拟。默认情况下,ASP.NET 应用程序不使用模拟。应用程序使用配置的 ASP.NET 进程标识(通常为 ASPNET)运行,并且应用程序执行的所有资源访问都使用此标识。仅在以下情况下需要使用模拟:
- 您使用 Enterprise Services 并且要使用 Enterprise Services (COM+) 角色授权访问服务组件所提供的功能。
- 将 IIS 配置为使用匿名身份验证,而且要使用匿名 Internet 用户帐户进行资源访问。有关此方法的详细信息,请参见本章后面的“访问网络资源”。
- 您需要将已验证用户的安全性上下文传递到下一层(例如数据库)。
- 您已将传统的 ASP 应用程序移植到 ASP.NET,并且需要同样的模拟行为。默认情况下,传统 ASP 模拟调用方。
要配置 ASP.NET 模拟,请在应用程序的 Web.config 中使用下面的 <identity> 元素。
<identity impersonate="true"/>3. 配置授权。URL 授权确定用户或角色是否可以将特定的 HTTP 谓词(例如,GET、HEAD 和 POST)发送给特定的文件。要实现 URL 授权,请执行以下任务。
a. 将 <authorization> 元素添加到应用程序虚拟根目录下的 Web.config 文件中。
b. 使用 allow 和 deny 属性限制对用户和角色的访问。下面的示例摘自 Web.config,它使用 Windows 身份验证并允许 Bob 和 Mary 的访问,但拒绝其他人的访问。
<authorization>
<allow users="DomainName"Bob, DomainName"Mary" />
<deny users="*" />
</authorization>
重要信息:您需要在 <authorization> 元素的结尾添加 <deny users="?"/> 或 <deny users="*"/>,否则将给所有已验证的标识授予访问权限。
URL 授权注意事项
在配置 URL 授权时,请注意以下几点:
URL 授权示例
下面的列表列出了一些典型 URL 授权示例的语法:
更多信息
<authorization> 元素可用于存储在 HttpContext.User 和 HttpContext.Request.RequestType 中的当前 IPrincipal 对象。
保护资源
1. 使用 Windows ACL 保护资源,包括文件、文件夹和注册表项。
如果不使用模拟,则应用程序需要访问的任何资源的 ACL 必须给 ASP.NET 进程帐户至少授予读取访问权限。
如果使用模拟,文件和注册表项的 ACL 必须给已验证用户(或匿名 Internet 用户帐户,如果匿名身份验证生效的话)至少授予读取访问权限。
2. 保护 Web.config 和 Machine.config:使用正确的 ACL 如果 ASP.NET 使用模拟,则模拟的标识需要读取访问权限。否则,ASP.NET 进程标识需要读取访问权限。对 Web.config 和 Machine.config 使用以下 ACL。
系统:完全控制
管理员:完全控制
进程标识或模拟的标识:读取
如果没有模拟匿名 Internet 用户帐户 (IUSR_MACHINE),则应该拒绝该帐户的访问。
注意:如果将应用程序映射到 UNC 共享,则 UNC 标识也需要读取配置文件的访问权限。删除不需要的 HTTP 模块 Machine.config 包含一组默认的 HTTP 模块(在 <httpModules> 元素内)。它们包括:
- WindowsAuthenticationModule
- FormsAuthenticationModule
- PassportAuthenticationModule
- UrlAuthorizationModule
- FileAuthorizationModule
- OutputCacheModule
- SessionStateModule
如果应用程序没有使用特定的模块,请将其删除,以免将来在应用程序中出现与该模块有关的任何潜在安全问题。
3. (可选)将 <location> 元素与 allowOverride="false" 属性一起使用以锁定配置设置(如下所示)。
锁定配置设置
配置设置是分层的。子目录中的 Web.config 文件设置覆盖父目录中的 Web.config 设置。另外,Web.config 设置覆盖 Machine.config 设置。
通过将 <location> 元素与 allowOverride 属性一起使用,可以锁定配置设置以防止它们被低级别的设置覆盖。例如:<location path="somepath" allowOverride="false" />
. . . arbitrary configuration settings . . .
</location>请注意,路径可以指 Web 站点或虚拟目录,并且它适用于指定的目录和所有子目录。如果将 allowOverride 设置为 false,则可以防止任何低级别的配置文件覆盖 <location> 元素中指定的设置。锁定配置设置的功能适用于所有设置类型,而不是仅限于安全设置(如身份验证模式)。
禁止下载文件
可以使用 HttpForbiddenHandler 类禁止通过 Web 下载某些文件类型。该类由 ASP.NET 在内部使用以禁止下载某些系统级别文件(例如,包括 web.config 在内的配置文件)。有关可用这种方法进行限制的文件类型的完整列表,请参见 machine.config 中的 <httpHandlers> 节。
对于应用程序在内部使用但不能进行下载的文件,应考虑使用 HttpForbiddenHandler。
注意:还必须使用 Windows ACL 来保护文件,控制哪些用户在登录到 Web 服务器上时可以访问这些文件。
使用 HttpForbiddenHandler 禁止下载特定的文件类型
- 在 IIS 中为指定的文件类型创建应用程序映射,以便将其映射到 Aspnet_isapi.dll。
a. 在任务栏上,依次单击“开始”按钮、“程序”、“管理工具”,然后选择“Internet 信息服务”。
b. 选择应用程序的虚拟目录,右击,然后单击“属性”。
c. 选择“应用程序设置”,然后单击“配置”。
d. 单击“添加”以创建新的应用程序映射。
e. 单击“浏览”,然后选择 c:"winnt"Microsoft.NET"Framework"v1.0.3705"aspnet_isapi.dll。
f. 在“扩展名”字段中输入要禁止下载的文件类型的扩展名(例如 .abc)。
g. 确保选中“所有谓词”和“脚本引擎”,并且没有选中“检查文件是否存在”。
h. 单击“确定”关闭“添加/编辑应用程序扩展映射”对话框。
i 单击“确定”关闭“应用程序配置”对话框,然后再单击“确定”关闭“属性”对话框。
- 在 Web.config 中,为指定的文件类型添加 <HttpHandler> 映射。
下面显示了一个 .abc 文件类型的示例。
<httpHandlers>
<add verb="*" path="*.abc"
type="System.Web.HttpForbiddenHandler"/>
</httpHandlers>
安全通信
结合使用 SSL 和 Internet 协议安全 (IPSec) 以保护通信链路。
详细信息
编程安全性
在确定 Web 应用程序可配置的安全设置后,您需要以编程方式进一步改进和优化应用程序的授权策略。这包括在程序集中使用说明性的 .NET 属性,以及在代码中执行命令性的授权检查。
本节重点介绍在 ASP.NET Web 应用程序中执行授权所需的主要编程步骤。
授权模式
下面总结了在 Web 应用程序中对用户进行授权的基本模式:
1. 检索凭据
2. 验证凭据
3. 将用户放到角色中
4. 创建一个 IPrincipal 对象
5. 将 IPrincipal 对象放到当前的 HTTP 上下文中
6. 基于用户标识/角色成员身份进行授权
重要信息:如果配置了 Windows 身份验证,则 ASP.NET 自动执行步骤 1 到 5。对于其他身份验证机制(表单、Passport 和自定义方法),您必须编写代码以执行这些步骤(如下所示)。检索凭据
首先,必须从用户检索一组凭据(用户名和密码)。如果应用程序没有使用 Windows 身份验证,则需要确保使用 SSL 在网络上正确保护明文凭据。
验证凭据
如果配置了 Windows 身份验证,则操作系统的基本服务就会自动对凭据进行验证。
如果使用其他身份验证机制,则必须编写代码以根据数据存储(如 SQL Server 数据库或 Active Directory)对凭据进行验证。
有关如何将用户凭据安全地存储在 SQL Server 数据库中的详细信息,请参见第 12 章“数据访问安全性”中的“对数据库进行用户身份验证”。
将用户放到角色中
用户数据存储还应包含每个用户的角色列表。必须编写代码以检索已验证用户的角色列表。
创建一个 IPrincipal 对象
授权是针对已验证用户进行的,这些用户的标识和角色列表保存在 IPrincipal 对象中(该对象在当前 Web 请求的上下文中传递)。
如果配置了 Windows 身份验证,则 ASP.NET 自动构造 WindowsPrincipal 对象。该对象包含已验证用户的标识以及角色列表(它等同于用户所属的 Windows 组列表)。
如果使用的是表单、Passport 或自定义身份验证,则必须在 Global.asax 的 Application_AuthenticateRequest 事件处理程序中编写代码以创建 IPrincipal 对象。GenericPrincipal 类是由 .NET 框架提供的,在大多数情况下应该使用该类。
将 IPrincipal 对象放到当前的 HTTP 上下文中
将 IPrincipal 对象附加到当前的 HTTP 上下文中(使用 HttpContext.User 变量)。如果使用 Windows 身份验证,则 ASP.NET 自动完成此任务。否则,您必须手动附加该对象。
基于用户标识和/或角色成员身份进行授权
如果应用程序需要更细分的授权逻辑,请在代码中以声明方式(获取类或方法级授权)或命令性方式使用 .NET 角色。
可以使用说明性或命令性用户权限要求(使用 PrincipalPermission 类),也可以通过调用 IPrincipal.IsInRole() 方法执行明确的角色检查。
下面的示例采用 Windows 身份验证并显示了说明性主体权限要求。仅当已验证用户是 Manager Windows 组的成员时,才执行该属性后面的方法。如果调用方不是该组的成员,就会发生 SecurityException。[PrincipalPermission(SecurityAction.Demand,
Role=@"DomainName"Manager")]
public void SomeMethod()
{
}下面的示例显示了代码中的明确角色检查。该示例采用 Windows 身份验证。如果使用非 Windows 身份验证机制,则代码基本上是一样的。只是将 User 对象转换为 GenericPrincipal 对象,而不是 WindowsPrincipal 对象。
// Extract the authenticated user from the current HTTP context.
// The User variable is equivalent to HttpContext.Current.User if you are using // an .aspx or .asmx page
WindowsPrincipal authenticatedUser = User as WindowsPrincipal;
if (null != authenticatedUser)
{
// Note: To retrieve the authenticated user's username, use the
// following line of code
// string username = authenticatedUser.Identity.Name;// Perform a role check
if (authenticatedUser.IsInRole(@"DomainName"Manager") )
{
// User is authorized to perform manager functionality
}
}
else
{
// User is not authorized to perform manager functionality
}更多信息
有关以上表单身份验证模式的实际实现,请参见本章后面的“表单身份验证”部分。创建自定义 IPrincipal 类
当使用非 Windows 身份验证机制时,大多数情况下应使用.NET 框架提供的 GenericPrincipal 类。它使用 IPrincipal.IsInRole 方法提供角色检查。
有时,您可能需要实现您自己的 IPrincipal 类。实现您自己的 IPrincipal 类的原因包括:
- 您想扩展角色检查的功能。您可能需要一些方法来使您能够检查某一特定用户是否是一个多角色成员。例如:CustomPrincipal.IsInAllRoles( "Role", "Role2", "Role3" )
CustomPrincipal.IsInAnyRole( "Role1", "Role2", "Role3" )
- 您可能需要实现一个额外的方法或属性,以数组形式返回角色列表。例如:string[] roles = CustomPrincipal.Roles;
- 您想让应用程序强制实施角色分级逻辑。例如,高级管理员被认为在层次结构中高于普通管理员。可以用类似下面所示的方法进行测试。
CustomPrincipal.IsInHigherRole("Manager");
CustomPrincipal.IsInLowerRole("Manager");
- 您可能需要实现惰性的角色列表初始化。例如,只有在需要进行角色检查时,才能动态加载角色列表。
- 您可能需要实现 IIdentity 接口以使用 X509ClientCertificate 标识的用户。例如:
CustomIdentity id = CustomPrincipal.Identity;
X509ClientCertificate cert = id.ClientCertificate;更多信息
有关创建您自己的 IPrincipal 类的详细信息,请参见本指南“参考”部分的“如何做:实现自定义 IPrincipal 类”。
Windows 身份验证
如果应用程序用户使用可由服务器进行身份验证的 Windows 帐户(例如,在 Intranet 方案中),请使用 Windows 身份验证。
如果将 ASP.NET 配置为使用 Windows 身份验证,则 IIS 使用配置的 IIS 身份验证机制执行用户身份验证。图 8.4 中显示了这种情况。
图 8.4 ASP.NET Windows 身份验证使用 IIS 验证调用方的身份
已验证调用方(如果将 IIS 配置为使用匿名身份验证,则它可能是匿名 Internet 用户帐户)的访问令牌可供 ASP.NET 应用程序使用。请注意以下方面:
- 这将允许 ASP.NET FileAuthorizationModule 使用原调用方的访问令牌,对请求的 ASP.NET 文件执行访问检查。
重要信息:ASP.NET 文件授权只对映射到 Aspnet_isapi.dll 的文件类型执行访问检查。
- 文件授权不要求使用模拟。如果启用了模拟,则应用程序执行的所有资源访问均使用被模拟的调用方的标识。在这种情况下,请确保附加到资源上的 ACL 包含一个访问控制项 (ACE),它可给原调用方标识至少授予读取访问权限。
标识已验证身份的用户
ASP.NET 将 WindowsPrincipal 对象与当前的 Web 请求关联起来。这包含已验证身份的 Windows 用户的标识以及该用户所属的角色列表。在 Windows 身份验证中,角色列表是由用户所属的 Windows 组集组成的。
以下代码显示如何获取已验证 Windows 用户的标识,以及如何执行简单的角色授权测试。WindowsPrincipal user = User as WindowsPrincipal;
if (null != user)
{
string username = user.Identity.Name;
// Perform a role check
if ( user.IsInRole(@"DomainName"Manager") )
{
// User is authorized to perform manager functionality
}
}
else
{
// Throw security exception as we don't have a WindowsPrincipal
}
表单身份验证
当使用表单份验证时,如果未验证身份的用户试图访问受保护的文件或资源(其中,URL 授权拒绝用户访问),该用户所触发的事件顺序如图 8.5 所示。
图 8.5 表单身份验证的事件顺序
下面说明了图 8.5 中显示的事件顺序:
表单身份验证的开发步骤
以下列表重点介绍了实现表单身份验证时必须执行的主要步骤:
1. 将 IIS 配置为使用匿名访问。
2. 将 ASP.NET 配置为使用表单身份验证。
3. 创建登录 Web 表单并验证提供的凭据。
4. 从自定义数据存储中检索角色列表。
5. 创建表单身份验证票(在票中存储角色)。
6. 创建一个 IPrincipal 对象。
7. 将 IPrincipal 对象放到当前的 HTTP 上下文中。
8. 基于用户名/角色成员身份对用户进行授权。
将 IIS 配置为使用匿名访问
必须在 IIS 中将应用程序的虚拟目录配置为使用匿名访问。
将 IIS 配置为使用匿名访问
1. 启动 Internet 信息服务管理工具。
2. 选择应用程序的虚拟目录,右击,然后单击“属性”。
3. 单击“目录安全性”。
4. 在“匿名访问和验证控件”组中,单击“编辑”。
5. 选择“匿名访问”。
将 ASP.NET 配置为使用表单身份验证
下面显示了一个配置示例。
<authentication mode="Forms">
<forms name="MyAppFormsAuth"
loginUrl="login.aspx"
protection="Encryption"
timeout="20"
path="/" >
</forms>
</authentication>
创建登录 Web 表单并验证提供的凭据
根据 SQL Server 数据库或 Active Directory 验证凭据。
更多信息
从自定义数据存储中检索角色列表
从 SQL Server 数据库表中获取角色,或从 Active Directory 内配置的组/分发列表中获取角色。有关详细信息,请参考前面的资源。
创建表单身份验证票
在票中存储检索到的角色。下面的代码阐释了此过程。
// This event handler executes when the user clicks the Logon button
// having supplied a set of credentials
private void Logon_Click(object sender, System.EventArgs e)
{
// Validate credentials against either a SQL Server database
// or Active Directory
bool isAuthenticated = IsAuthenticated( txtUserName.Text,
txtPassword.Text );
if (isAuthenticated == true )
{
// Retrieve the set of roles for this user from the SQL Server
// database or Active Directory.The roles are returned as a
// string that contains pipe separated role names
// for example "Manager|Employee|Sales|"
// This makes it easy to store them in the authentication ticket
string roles = RetrieveRoles( txtUserName.Text, txtPassword.Text );
// Create the authentication ticket and store the roles in the
// custom UserData property of the authentication ticket
FormsAuthenticationTicket authTicket = new
FormsAuthenticationTicket(
1, // version
txtUserName.Text, // user name
DateTime.Now, // creation
DateTime.Now.AddMinutes(20),// Expiration
false, // Persistent
roles ); // User data
// Encrypt the ticket.
string encryptedTicket = FormsAuthentication.Encrypt(authTicket);
// Create a cookie and add the encrypted ticket to the
// cookie as data.
HttpCookie authCookie =
new HttpCookie(FormsAuthentication.FormsCookieName,
encryptedTicket);
// Add the cookie to the outgoing cookies collection.
Response.Cookies.Add(authCookie);
// Redirect the user to the originally requested page
Response.Redirect( FormsAuthentication.GetRedirectUrl(
txtUserName.Text,
false));
}
}
创建一个 IPrincipal 对象
在 Global.asax 内的 Application_AuthenticationRequest 事件处理程序中创建 IPrincipal 对象。除非您需要基于角色的扩展功能,否则,请使用 GenericPrincipal 类。在这种情况下,创建一个实现 IPrincipal 的自定义类。
将 IPrincipal 对象放到当前的 HTTP 上下文中
GenericPrincipal 对象的创建过程如下所示。
protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
// Extract the forms authentication cookie
string cookieName = FormsAuthentication.FormsCookieName;
HttpCookie authCookie = Context.Request.Cookies[cookieName];
if(null == authCookie)
{
// There is no authentication cookie.
return;
}
FormsAuthenticationTicket authTicket = null;
try
{
authTicket = FormsAuthentication.Decrypt(authCookie.Value);
}
catch (Exception ex)
{
// Log exception details (omitted for simplicity)
return;
}
if (null == authTicket)
{
// Cookie failed to decrypt.
return;
}
// When the ticket was created, the UserData property was assigned a
// pipe delimited string of role names.
string[] roles = authTicket.UserData.Split(new char[]{'|'});
// Create an Identity object
FormsIdentity id = new FormsIdentity( authTicket );
// This principal will flow throughout the request.
GenericPrincipal principal = new GenericPrincipal(id, roles);
// Attach the new principal object to the current HttpContext object
Context.User = principal;
}
基于用户名或角色成员身份对用户进行授权
使用说明性的主体权限要求来限制对方法的访问。使用命令性主体权限要求和/或明确角色检查 (IPrincipal.IsInRole) 在方法中执行细分的授权。
表单实现原则
更多信息
承载多个使用表单身份验证的应用程序
如果在同一 Web 服务器上承载多个使用表单身份验证的 Web 应用程序,在某一应用程序中已验证身份的用户可以请求另一个应用程序,而无需重定向到该应用程序的登录页。第二个应用程序中的 URL 授权规则可能会拒绝该用户的访问,而不会提供使用登录表单提供登录凭据的机会。
仅在以下情况下发生这种情况:多个应用程序的 <forms> 元素的名称和路径属性是相同的,而且每个应用程序在 Web.config 中使用相同的 <machineKey> 元素。
更多信息
有关此问题的详细信息以及解决方法,请参见以下知识库文章:
- Q313116“PRB: Forms Authentication Requests Are Not Directed to loginUrl Page(PRB:没有将表单身份验证请求定向到 loginUrl 页)”
- Q310415“PRB: Mobile Forms Authentication and Different Web Applications(PRB:移动表单身份验证和各种 Web 应用程序)”
无 Cookie 表单身份验证
如果您需要无 Cookie 表单身份验证解决方案,请考虑使用 Microsoft Mobile Internet Toolkit 所使用的方法。移动表单身份验证建立在表单身份验证之上,但使用查询字符串来传递身份验证票而不是使用 Cookie 。
更多信息
有关移动表单身份验证的详细信息,请参见 Microsoft 知识库文章 Q311568“INFO: How To Use Mobile Forms Authentication with Microsoft Mobile Internet Toolkit(INFO:如何将移动表单身份验证用于 Microsoft Mobile Internet Toolkit)”。
Passport 身份验证
如果应用程序用户使用 Passport 帐户,而且您要在其他支持 Passport 的站点上实现单次登录解决方案,则应使用 Passport 身份验证。
当将 ASP.NET 配置为使用 Passport 身份验证时,就会提示用户登录并将该用户重定向到 Passport 站点。在成功验证了凭据后,就会将用户重定向回您的站点。
将 ASP.NET 配置为使用 Passport 身份验证
要将 ASP.NET 配置为使用 Passport 身份验证,请使用以下 Web.config 设置。<authentication mode="Passport">
<passport redirectUrl="internal" />
</authentication>
<authorization>
<deny users="?" />
<allow users="*" />
</authorization>将 Passport 标识映射为 Global.asax 中的角色
要将 Passport 标识映射为角色,按如下所示在 Global.asax 中实现 PassportAuthentication_OnAuthentication 事件处理程序。void PassportAuthentication_OnAuthenticate(Object sender,
PassportAuthenticationEventArgs e)
{
if(e.Identity.Name == "0000000000000001")
{
string[] roles = new String[]{"Developer", "Admin", "Tester"};
Context.User = new GenericPrincipal(e.Identity, roles);
}
}测试角色成员身份
以下代码片段显示了如何在 aspx 页中检索已验证身份的 Passport 标识和检查角色成员身份。PassportIdentity passportId = Context.User.Identity as PassportIdentity;
if (null == passportId)
{
Response.Write("Not a PassportIdentity<br>");
return;
}
Response.Write("IsInRole: Develeoper?" + Context.User.IsInRole("Developer"));
自定义身份验证
如果 .NET 框架提供的身份验证模块均不能满足您的确切身份验证需要,则可以使用自定义身份验证并实现您自己的身份验证机制。例如,您的公司可能已经制订了一个可由其他应用程序广泛使用的自定义身份验证策略。
要在 ASP.NET 中实现自定义身份验证,请执行下列操作:
更多信息
有关如何实现自定义 HTTP 模块的详细信息,请参见 Microsoft 知识库文章 Q307996“HOW TO: Create an ASP.NET HTTP Module Using Visual C# .NET(如何做:使用 Visual C# .NET 创建 ASP.NET HTTP 模块)”。
ASP.NET 的进程标识
使用权限最少的帐户运行 ASP.NET(具体来说就是 Aspnet_wp.exe 辅助进程)。
使用权限最少的帐户
使用权限最少的帐户可以减少与进程攻击相关的威胁。如果某个顽固的攻击者设法破坏了运行 Web 应用程序的 ASP.NET 进程,则这些应用程序可以轻易地继承和使用给该进程帐户授予的特权和访问权限。配置为权限最少的帐户可以限制可能的潜在危害。
避免作为 SYSTEM 运行
不要使用高权限的 SYSTEM 帐户来运行 ASP.NET,也不要给 ASP.NET 进程帐户授予“充当操作系统的一部分”权限。您可能很想使用其中的一种方法,通过代码调用 LogonUser API 以获取固定的标识(通常用于网络资源访问)。有关替代方法,请参见本章后面的“访问网络资源”。
不要以 SYSTEM 的身份运行或不授予“充当操作系统的一部分”权限的原因包括:
更多信息
有关“充当操作系统的一部分”权限的详细信息,请参见 1999 年 8 月的 Microsoft Systems Journal 专栏文章 Security Briefs。
如果应用程序访问网络资源,则 ASPNET 帐户必须能够由远程计算机验证身份。您有两种选择:
<processModel> 元素
Machine.config 文件中的 <processModel> 元素包含 userName 和 password 属性,这些属性指定应该使用哪些帐户来运行 ASP.NET 辅助进程 (Aspnet_wp.exe)。您可以使用多种方法来配置此设置。例如:
更多信息
- 有关从 ASP.NET Web 应用程序访问网络资源的详细信息,请参见本章后面的“访问网络资源”。
- 有关如何创建用于运行 ASP.NET 的自定义帐户的详细信息,请参见本指南“参考”部分的“如何做:创建自定义帐户以便运行 ASP.NET”。
模拟
随着 FileAuthorizationModule 的引入以及有效地使用关守和信任边界,模拟技术在 ASP.NET 中现在看来是弊大于利。
模拟和本地资源
如果使用模拟并且从 Web 应用程序代码访问本地资源,则必须配置附加到每个受保护资源的 ACL,以包含一个至少给已验证用户授予读取访问权限的 ACE。
更好的方法是避免使用模拟,将权限授予 ASP.NET 进程帐户,并使用 URL 授权、文件授权以及基于角色的说明性和命令性检查组合。
模拟和远程资源
如果您使用模拟,然后从 Web 应用程序代码访问远程资源,则除非您使用基本身份验证、表单身份验证或 Kerberos 身份验证,否则访问将会失败。如果您使用 Kerberos 身份验证,则必须将用户帐户相应地配置为使用委派。在 Active Directory 中,必须将它们标记为“敏感帐户,不能被委派”。更多信息
有关如何配置 Kerberos 委派的详细信息,请参见:
- 第 5 章“Intranet 安全性”中的“将原调用方传递到数据库”。
- 本指南“参考”部分的“如何做:对 Windows 2000 实现 Kerberos 委派”。
模拟和线程
如果某个正在模拟的线程创建了一个新线程,则该新线程将继承 ASP.NET 进程帐户的安全性上下文,而不是继承被模拟帐户的安全性上下文。
访问系统资源
默认情况下,ASP.NET 不执行模拟。因此,如果 Web 应用程序访问本地系统资源,则它使用与 Aspnet_wp.exe 辅助进程关联的安全性上下文完成此任务。安全性上下文是由运行辅助进程使用的帐户决定的。
访问事件日志
权限最少的帐户拥有足够的权限,能够使用现有事件源将记录写入到事件日志中。但是,它们没有足够的权限来创建新的事件源,这要求在下面的注册表配置单元下面设置一个新项。HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services"Eventlog"<log>
为避免出现此问题,请在安装时创建由应用程序使用的事件源(如果可以使用管理员权限的话)。一个好的方法是使用可由 Windows Installer(如果使用 .msi 部署的话)或 InstallUtil.exe 系统实用程序(如果没有使用 .msi 部署)实例化的 .NET 安装程序类。
如果在安装时无法创建事件源,则必须将权限添加到以下注册表项中,并给某个被模拟帐户的 ASP.NET 进程帐户授予访问权限(如果应用程序使用模拟的话)。HKEY_LOCAL_MACHINE"SYSTEM"CurrentControlSet"Services"Eventlog
帐户必须拥有以下最少权限:
- 查询项值
- 设置项值
- 创建子项
- 枚举子项
- 通知
- 读取
在将权限应用于注册表后,可以使用以下代码从 ASP.NET 写入应用程序事件日志:
string source = "Your Application Source";
string logToWriteTo = "Application";
string eventText = "Sample Event";if (!EventLog.SourceExists(source))
{
EventLog.CreateEventSource(source, logToWriteTo);
}
EventLog.WriteEntry(source, eventText, EventLogEntryType.Warning, 234);访问注册表
应用程序访问的任何注册表项要求在 ACL 中使用 ACE,以便至少给 ASP.NET 进程帐户授予读取访问权限。更多信息
有关安装程序类和 InstallUtil.exe 实用程序的详细信息,请参见 MSDN 上的 .NET 框架工具。
访问 COM 对象
在传统的 ASP 中,使用单线程单元 (STA) 线程池中的线程来处理请求。在 ASP.NET 中,使用多线程单元 (MTA) 线程池中的线程来处理请求。这会给调用单元模型对象的 ASP.NET Web 应用程序造成不利影响。
单元模型对象
当 ASP.NET Web 应用程序调用单元模型对象(如 Visual Basic 6 COM 对象)时,需要注意以下两个问题:
- 您必须用 AspCompat 指令标记 ASP.NET 页面(如下所示)。
<%@ Page Language="C#" AspCompat="True" %>
- 不要在特定的 Page 事件处理程序以外创建 COM 对象。始终在 Page 事件处理程序(例如,Page_Load 和 Page_Init)中创建 COM 对象。不要在页面的构造函数中创建 COM 对象。
需要 AspCompat 指令
默认情况下,ASP.NET 使用 MTA 线程来处理请求。在从 ASP.NET 调用单元模型对象时,将会导致线程切换,这是因为 MTA 线程不能直接访问单元模型对象(COM 将使用 STA 线程)。
如果指定 AspCompat,则 STA 线程处理页面。这可避免从 MTA 到 STA 的线程切换。如果 Web 应用程序使用模拟功能,从安全角度讲这是非常重要的,因为线程切换将会导致丢失模拟令牌。新的线程将没有关联的模拟令牌。
ASP.NET Web 服务不支持 AspCompat 指令。这意味着,在从 Web 服务代码调用单元模型对象时,将会发生线程切换并且丢失线程模拟令牌。这通常导致出现“拒绝访问”异常错误。更多信息
- 有关详细信息,请参见以下知识库文章:
- 文章 Q303375“INFO: XML Web Services and Apartment Objects”(INFO:XML Web 服务和单元对象)
- 文章 Q325791“PRB: Access Denied Error Message Occurs When Impersonating in ASP.NET and Calling STA COM Components”(PRB:在 ASP.NET 中进行模拟以及调用 STA COM 组件时出现“拒绝访问”错误消息)
- 有关如何确定当前执行代码的标识的详细信息,请参见第 13 章“疑难解答”中的“我是谁?”一节。
不要在特定 Page 事件以外创建 COM 对象
不要在特定 Page 事件处理程序以外创建 COM 对象。以下代码片段阐释了不要执行哪些操作。<%@ Page Language="C#" AspCompat="True" %>
<script runat="server">
// COM object created outside of Page events
YourComObject obj = new apartmentObject();
public void Page_Load()
{
obj.Foo()
}
</script>在使用单元模型对象时,一定要在特定 Page 事件(例如 Page_Load)中创建对象(如下所示)。
<%@ Page Language="C#" AspCompat="True" %>
<script runat="server">
public void Page_Load()
{
YourComObject obj = new apartmentObject();
obj.Foo()
}
</script>更多信息
有关详细信息,请参见 Microsoft 知识库文章 Q308095“PRB: Creating STA Components in the Constructor in ASP.NET ASPCOMPAT Mode Negatively Impacts Performance”(PRB:在 ASP.NET ASPCOMPAT 模式下,如果在构造函数中创建 STA 组件,将会对性能产生负面影响)。COM+ 中的 C# 和 VB .NET 对象
Microsoft C#? 开发工具和 Microsoft Visual Basic? .NET 开发系统支持所有的线程模型(自由线程、中性、两者和单元)。默认情况下,将 COM+ 中驻留的 C# 和 Visual Basic .NET 对象标记为“两者”。因此,当 ASP.NET 调用它们时,可以直接进行访问,而不会发生线程切换。
访问网络资源
应用程序可能需要访问网络资源。一定要能够标识以下内容:
可以使用以下任一方法,从 ASP.NET 应用程序中访问远程资源:
使用 ASP.NET 进程标识
如果没有将应用程序配置为使用模拟,在应用程序试图访问远程资源时,ASP.NET 进程标识就会提供默认标识。如要使用 ASP.NET 进程帐户访问远程资源,您有三种选择:
更多信息
有关配置 ASP.NET 进程帐户的详细信息,请参见本指南“参考”部分的“如何做:创建自定义帐户以便运行 ASP.NET”。
使用服务组件
可以使用配置为以固定标识运行的进程外服务组件来访问网络资源。图 8.6 中显示了此方式。
图 8.6 使用进程外服务组件为网络资源访问提供固定标识
使用进程外服务组件(在 Enterprise Services 服务器应用程序中)具有以下优点:
使用匿名 Internet 用户帐户
如果将 IIS 配置为使用匿名身份验证,则可以使用匿名 Internet 用户帐户访问网络资源。如果以下任一情况属实,就会发生这种情况:
使用匿名帐户访问远程资源
1. 将 IIS 配置为使用匿名身份验证。可以根据应用程序的身份验证要求,将 ASP.NET 身份验证模式设置为“Windows”、“表单”、“Passport”或“无”。
2. 将 ASP.NET 配置为使用模拟。在 Web.config 中使用下列设置:
<identity impersonate="true"/>3. 将匿名帐户配置为权限最少的域帐户,
-或-
在远程计算机上使用相同的用户名和密码复制匿名帐户。在不信任的域之间进行调用时,或者通过没有打开支持集成 Windows 身份验证所需端口的防火墙进行调用时,必须使用此方法。
要支持这种方法,您还必须:a. 使用 Internet 服务管理器清除匿名帐户的“允许 IIS 控制密码”复选框。
如果选择此选项,使用指定匿名帐户创建的登录会话最终得到的是 NULL 网络凭据(因此不能用来访问网络资源)。如果不选择此选项,则登录会话是一个具有网络凭据的交互式登录会话。
b. 在用户管理器和 Internet 服务管理器中均设置帐户的凭据。重要信息:如果您模拟匿名帐户(例如,IUSR_MACHINE),则必须禁止该帐户访问资源(使用进行适当配置的 ACL)。对于应用程序需要访问的资源,必须(至少)给匿名帐户授予读取访问权限。应拒绝匿名帐户访问所有其他的资源。
承载多个 Web 应用程序
对于 Web 站点中的每一个虚拟根目录,可以使用一个单独的匿名 Internet 用户帐户。在承载环境中,这允许您分别授权、跟踪和审核来自不同 Web 应用程序的请求。图 8.7 中显示了此方式。
图 8.7 为每个应用程序模拟不同的匿名 Internet用户帐户 (v-dir)
为特定的虚拟目录配置匿名 Internet 用户帐户
1. 从“管理工具”程序组中启动“Internet 服务管理器”。
2. 选择要配置的虚拟目录,右键单击,然后单击“属性”。
3. 单击“目录安全性”选项卡。
4. 在“匿名访问和验证控件”组中,单击“编辑”。
5. 选择“匿名访问”,然后单击“编辑”。
6. 输入在匿名用户连接到站点时希望 IIS 使用的帐户的用户名和密码。
7. 确保没有选择“允许 IIS 控制密码”。
使用 LogonUser 并模拟特定的 Windows 标识
可以使用以下方法模拟特定的标识:在 Web.config 中的 <identity> 元素上配置用户名和密码属性,或者在应用程序代码中调用 Win32? LogonUser API。
重要信息:建议不要使用这些方法。在 Windows 2000 服务器上应避免使用这两种方法,因为它强制给 ASP.NET 进程帐户授予“充当操作系统的一部分”权限。这会显著降低 Web 应用程序的安全性。
Windows Server 2003 将取消此限制。
使用原调用方
要使用原调用方的标识访问远程资源,您必须能够将调用方的安全性上下文从 Web 服务器委派到远程计算机。
可伸缩性警告:如果使用原调用方的模拟标识访问应用程序的数据服务层,则会严重影响应用程序的伸缩性,这是因为数据库连接池的效率非常低。对于每个用户而言,数据库连接的安全性上下文是不同的。
以下身份验证方案支持委派:
重要信息:在支持委派的方法中,基本身份验证是最不安全的一种方法。这是因为明文用户名和密码通过网络从浏览器传递到服务器,并且将它们缓存在 Web 服务器的内存中。可以使用 SSL 在传递过程中保护凭据,但应当尽量避免在 Web 服务器上缓存明文凭据。
使用原调用方访问远程资源
- 将 IIS 配置为使用集成 Windows (Kerberos)、证书(带 IIS 证书映射)或基本身份验证。
- 将 ASP.NET 配置为使用 Windows 身份验证和模拟。
<authentication mode="Window" />
<identity impersonate="true"/>- 如果使用 Kerberos 委派,请将 Active Directory 帐户配置为使用委派。
更多信息
- 有关配置 Kerberos 委派的详细信息,请参见本指南“参考”部分的“如何做:对 Windows 2000 实现 Kerberos 委派”。
有关 IIS 证书映射的详细信息,请参见 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/windows2000/howto/mapcerts.asp。
有关 ASP.NET 模拟的详细信息,请参见 MSDN 中的 .NET 框架开发人员指南。
访问 UNC 文件共享上的文件
如果应用程序需要使用 ASP.NET 访问统一命名约定 (UNC) 共享上的文件,则一定要添加共享文件夹的 NTFS 权限。还需要设置共享的权限,以便给 ASP.NET 进程帐户或模拟的标识至少授予读取访问权限(如果将应用程序配置为使用模拟的话)。
访问非 Windows 网络资源
如果应用程序需要访问非 Windows 资源(例如位于非 Windows 平台上的数据库或大型机应用程序),则需要考虑以下问题:
如果资源需要能够对原调用方进行身份验证(并且不能选用 Windows 身份验证),则可以选择以下方法:
安全通信
使用 SSL 保护浏览器和 Web 服务器之间通信链路的安全。SSL 提供消息机密性和消息完整性。使用 SSL 和/或 IPSec 提供从 Web 服务器到应用程序服务器或数据库服务器的安全通道。
更多信息
有关安全通信的详细信息,请参见第 4 章“安全通信”。
存储机密
Web 应用程序通常需要存储机密。需要妥善保管这些机密,以防止不道德的管理员和有恶意的 Web 用户进行访问,例如:
- 不道德的管理员。不应给管理员和其他不道德的用户授予查看特权信息的权限。例如,不应给 Web 服务器管理员授予读取网络中 SQL Server 计算机上的 SQL Server 登录帐户密码的权限。
- 恶意的 Web 用户。即使可以使用某些组件(例如 FileAuthorizationModule)禁止用户访问特权文件(如果攻击者确实获得访问配置文件的权限),文件中的机密也不应以纯文本形式存储。
机密的典型示例包括:
- SQL 连接字符串。一个常见的错误是以纯文本形式存储用户名和密码。建议使用 Windows 身份验证而不是 SQL 身份验证。如果不能使用 Windows 身份验证,请参见第 12 章“数据访问安全性”中的以下部分,它们介绍了其他的安全方案:
- “安全地存储数据库连接”
- “安全通信”
- SQL 应用程序角色使用的凭据。必须使用需要角色名及相关密码的存储过程激活 SQL 应用程序角色。有关详细信息,请参见第 12 章“数据访问安全性”中的“授权”。
- Web.config 中的固定标识。例如:
<identity impersonate=”true” userName="bob" password="inClearText"/>
在 .NET 框架 1.1 版中,ASP.NET 提供加密用户名和密码并将其安全地存储到注册表项中的功能。- Machine.config 中的进程标识。例如:
<process userName="cUsTuMUzerName" password=”kUsTumPazzWerD” >
如果使用“Machine”用户名和“AutoGenerate”密码,则默认情况下由 ASP.NET 管理机密。
在 .NET 框架 1.1 版中,ASP.NET 提供加密用户名和密码并将其安全地存储到注册表项中的功能。- 用于安全地存储数据的密钥。无法在软件中安全地存储密钥。但是,可以使用某些任务减轻风险。例如,创建一个自定义的配置节处理程序,它使用不对称加密对会话密钥进行加密。然后,可以将会话密钥存储在配置文件中。
- SQL Server会话状态。要使用 SQL 服务器管理 ASP.NET Web 应用程序会话状态,请使用以下 Web.config 设置。
<sessionState … stateConnectionString=“tcpip=127.0.0.1:42424”
sqlConnectionString=“data source=127.0.0.1;
user id=UserName;password=MyPassword” />
在 .NET 框架 1.1 中,ASP.NET 提供加密此信息的功能。- 用于根据数据库进行表单身份验证的密码。
如果应用程序根据数据库对身份验证凭据进行验证,请不要将密码存储在数据库中。使用带有 Salt 值的密码哈希值并对哈希值进行比较。
有关详细信息,请参见第 12 章“数据访问安全性”中的“对数据库进行用户身份验证”。在 ASP.NET 中存储机密的选项
.NET Web 应用程序开发人员可以使用多种方法来存储机密。它们包括:
- .NET 加密类。.NET 框架包含可用于加密和解密的类。这些方法要求安全地存储加密密钥。
- 数据保护 API (DPAPI)。DPAPI 是一对 Win32 API,它使用从用户密码派生的密钥对数据进行加密和解密。在使用 DPAPI 时,您并不需要进行密钥管理。操作系统对作为用户密码的密钥进行管理。
- COM+ 构造函数字符串。如果应用程序使用服务组件,则可以在对象构造字符串中存储机密。该字符串以明文形式存储在 COM+ 目录中。
- CAPICOM。这是一个 Microsoft COM 对象,它提供对基础加密 API 基于 COM 的访问。
- 加密 API。这些 API 是执行加密和解密的低级 Win32 API。
更多信息
有关详细信息,请参见 MSDN 上 Platform SDK 中的加密技术、CryptoAPI 和 CAPICOM 条目。考虑将机密存储在单独逻辑卷上的文件中
考虑将 Web 应用程序目录安装到操作系统所在卷以外的逻辑卷上(例如 E: 而不是 C:)。这意味着 Machine.config(位于 C:"WINNT"Microsoft.NET 下)和其他可能包含机密的文件(例如通用数据链接 (UDL) 文件)位于 Web 应用程序目录以外的逻辑卷上。
此方法的基本原理是防止出现可能的文件规范化和目录遍历错误,因为:
- 文件规范化错误可能会公开 Web 应用程序文件夹中的文件。
注意:文件规范化例程返回文件路径的规范形式。这通常是绝对路径名,其中已完全解析所有相对引用和对当前目录的引用。
- 目录遍历错误可能会公开同一逻辑卷上其他文件夹中的文件。
公开其他逻辑卷上文件的上述类型错误尚未发布。
保护会话和视图状态
Web 应用程序必须管理各种类型的状态,其中包括视图状态和会话状态。本节讨论 ASP.NET Web 应用程序的安全状态管理。
保护视图状态
如果 ASP.NET Web 应用程序使用视图状态:
- 按如下所示将 enableViewStateMac 设置为 true,以确保视图状态的完整性(确保在传递过程中没有对它进行修改)。这样,在从客户端发回页面时,ASP.NET 就会在该页面的视图状态上生成消息身份验证代码 (MAC)。
<% @ Page enableViewStateMac=true >
- 配置 Machine.config 中 <machineKey> 元素的 validation 属性,指定数据验证所使用的加密类型。请考虑以下几个方面的问题:
- 安全哈希算法 1 (SHA1) 生成的哈希大小比消息摘要 5 (MD5) 大,因而可以认为它更安全。但是,在传递过程中或在客户端可能会解码使用 SHA1 或 MD5 保护的视图状态,并可能以纯文本形式进行查看。
- 使用三重数据加密标准 (3DES) 检测视图状态中的变化,并且还可以在传递过程中对视图状态进行加密。在处于这种状态时,即使视图状态被解码,也不能以纯文本形式进行查看。
保护 Cookie
在传递过程中,应该使用 SSL 保护包含身份验证或授权数据或其他机密数据的 Cookie。对于表单身份验证,可以使用 FormsAuthentication.Encrypt 方法加密以 Cookie 形式在客户端和服务器之间传递的身份验证票。保护 SQL 会话状态
默认(进程内)ASP.NET 会话状态处理程序会受到某些限制。例如,它不能在网络场中的其他计算机上运行。为了克服此限制,ASP.NET 允许在 SQL Server 数据库中存储会话状态。
可以在 Machine.config 或 Web.config 中配置 SQL 会话状态。Machine.config 的默认设置如下所示。<sessionState mode="InProc"
stateConnectionString="tcpip=127.0.0.1:42424"
stateNetworkTimeout="10"
sqlConnectionString="data source=127.0.0.1;user id=sa;password="
cookieless="false" timeout="20"/>默认情况下,SQL 脚本 InstallSqlState.sql(用于生成 SQL 会话状态使用的数据库)安装在以下位置:
C:"WINNT"Microsoft.NET"Framework"v1.0.3705
在使用 SQL 会话状态时,需要考虑以下两个问题。
- 必须保护数据库连接字符串的安全。
- 在网络上传递时,必须保护会话状态的安全。
保护数据库连接字符串
如果使用 SQL 身份验证连接到服务器,则将用户 ID 和密码信息以纯文本形式存储在 web.config 中(如下所示)。<sessionState
cookieless="false"
timeout="20"
mode="InProc"
stateConnectionString="tcpip=127.0.0.1:42424"
sqlConnectionString=
"data source=127.0.0.1;user id=UserName;password=ClearTxtPassword" />默认情况下,HttpForbiddenHandler 禁止下载配置文件。但是,任何可以直接访问存储配置文件的文件夹的用户仍然可以看到用户名和密码。更好的方法是对 SQL Server 使用 Windows 身份验证。
要使用 Windows 身份验证,可以使用 ASP.NET 进程标识(通常是 ASPNET)
1. 在数据库服务器上创建一个重复帐户(使用相同的名称和密码)。
2. 为该帐户创建 SQL 登录。
3. 在 ASPState 数据库中创建一个数据库用户,并将 SQL 登录映射到该新用户。
ASPState 数据库是由 InstallSQLState.sql 脚本创建的。
5. 创建一个用户定义的数据库角色,并将数据库用户添加到该角色。
6. 在数据库中为该数据库角色配置权限。
然后,可以更改连接字符串以使用受信任的连接(如下所示):sqlConnectionString="server=127.0.0.1;
database=StateDatabase;
Integrated Security=SSPI;"在网络上保护会话状态
在通过网络将会话状态传送到 SQL Server 数据库时,可能需要对会话状态进行保护。这取决于承载 Web 服务器和数据服务器的网络的安全性。如果已在受信任环境中对数据库进行物理保护,则可能不必采取这一额外的安全措施。
可以使用 IPSec 保护 Web 服务器和 SQL Server 之间的所有 IP 通信,或者使用 SSL 保护到 SQL Server 的链路。通过使用此方法,您可以选择只加密用于会话状态的连接,而不是在计算机之间进行的所有通信。更多信息
- 有关如何设置 SQL 会话状态的详细信息,请参见 Microsoft 知识库文章 Q317604“HOW TO: Configure SQL Server to Store ASP.NET Session State”(如何做:配置 SQL Server 以存储 ASP.NET 会话状态)。
- 有关对 SQL Server 使用 SSL 的详细信息,请参见本指南“参考”部分的“如何做:使用 SSL 来确保与 SQL Server 2000 安全通信”。
- 有关使用 IPSec 的详细信息,请参见本指南“参考”部分的“如何做:使用 IPSec 以便在两个服务器之间安全通信”。
网络场注意事项
在网络场方案中,不能保证来自同一客户端的后续请求由同一 Web 服务器提供服务。对于状态管理和任何取决于 Machine.config 中 <machineKey> 元素所保存的属性的加密而言,这会产生不利影响。
会话状态
默认 ASP.NET 进程内会话状态处理(它镜像以前的 ASP 功能)产生服务器关系,并且不能在网络场方案中使用。对于网络场部署,必须在进程外将会话状态存储到 ASP.NET 状态服务或 SQL Server 数据库中(如前所述)。
注意:不能依赖应用程序状态来保存网络场(将 Web 应用程序配置为在多台服务器上运行)或网络园(将 Web 应用程序配置为在多个处理器上运行)方案中的全局计数器或唯一值,因为在进程或计算机之间不能共享应用程序状态。DPAPI
DPAPI 能够与机器存储或用户存储(需要一个已加载的用户配置文件)配合使用。如果您将 DPAPI 和机器存储一起使用,那么加密字符串是给定计算机所特有的,因此您必须在每台计算机上生成加密数据。不要在网络场或群集中跨计算机复制加密数据。
如果将 DPAPI 和用户存储一起使用,则可以用一个漫游的用户配置文件在任何一台计算机上解密数据。更多信息
有关 DPAPI 的详细信息,请参见第 12 章“数据访问安全性”。在网络场中使用表单身份验证
如果使用表单身份验证,则网络场中的所有服务器必须共享一个通用机器密钥,此密钥用于身份验证票的加密、解密和验证。
机器密钥保存在 Machine.config 的 <machineKey> 元素中。默认设置如下所示。<machineKey validationKey="AutoGenerate"
decryptionKey="AutoGenerate"
validation="SHA1"/>此设置导致每台机器生成一个不同的验证和解密密钥。必须更改 <machineKey> 元素,并将通用密钥值放到网络场中的所有服务器上。
<machineKey> 元素
可以使用 Machine.config 中的 <machineKey> 元素,配置用于加密和解密表单身份验证 Cookie 数据和视图状态的密钥。
在调用 FormsAuthentication.Encrypt 或 FormsAuthentication.Decrypt 方法以及创建或检索视图状态时,将参考 <machineKey> 元素中的值。<machineKey validationKey="autogenerate|value"
decryptionKey="autogenerate|value"
validation="SHA1|MD5|3DES" />validationKey 属性
validationKey 属性值用于创建和验证视图状态和表单身份验证票的 MAC 代码。此验证属性表明在执行 MAC 生成时使用哪种算法。请注意以下方面:
- 在使用表单身份验证时,此密钥与 <forms> protection 属性配合使用。如果将保护属性设置为 Validation,然后调用 FormsAuthentication.Encrypt 方法,则使用票值和 validationKey 计算附加到 Cookie 中的 MAC。在调用 FormsAuthentication.Decrypt 方法时,就会计算 MAC 并将它与附加到票上的 MAC 进行比较。
- 在使用视图状态时,可以使用控件的视图状态值和 validationKey 来计算附加到视图状态上的 MAC。在将视图状态从客户端发回时,应重新计算 MAC 并将它与附加到视图状态上的 MAC 进行比较。
decryptionKey 属性
decryptionKey 属性值用于加密和解密表单身份验证票和视图状态。可以使用 DES 或 Triple DES (3DES) 算法。具体的算法取决于服务器上是否安装了 Windows 2000 高度加密包。如果安装了该程序包,则使用 3DES,否则使用 DES。请注意以下方面:
- 在使用表单身份验证时,密钥与 <forms> protection 属性配合使用。如果将 protection 属性设置为 Encryption,并且调用了 FormsAuthentication.Encrypt 或 Decrypt 方法,则使用指定的 decryptionKey 值加密或解密票值。
- 通过使用视图状态,在将控件的视图状态值发送到客户端时,使用 decryptionKey 值对它进行加密;并在客户端将数据发回服务器时对它进行解密。
Validation 属性
此属性规定验证、加密和解密时使用哪种算法。它可以采用 SHA1、MD5 或 3DES 值。以下是这些值的描述:
- SHA1。如果设置为 SHA1,则实际使用 HMACSHA1 算法。它生成 160 位(20 个字节)的输入哈希值或摘要。HMACSHA1 是一种加密哈希算法。此算法的输入密钥是由 validationKey 属性指定的。
SHA1 由于比其他算法具有更大的摘要,因此成为常用的算法。- MD5。它使用 MD5 算法生成 20 个字节哈希值。
- 3DES。它使用 Triple DES (3DES) 算法加密数据。
注意:在将验证属性设置为 3DES 时,表单身份验证实际上并不使用它,而是使用 SHA1。
更多信息
有关如何创建适于放在 Machine.config 中的密钥的信息,请参见 Microsoft 知识库文章 Q312906“HOW TO: Create Keys w/ C# .NET for Use in Forms Authentication”(如何做:使用 C# .NET 创建在表单身份验证中使用的密钥)。
有关 Windows 2000 高度加密包的详细信息,请参见 http://www.microsoft.com/windows2000/downloads/recommended/encryption/。
总结
本章介绍了各种保护 ASP.NET Web 应用程序的技术和方法。本章提供的大多数指南和建议同样适用于开发 ASP.NET Web 服务和由 ASP.NET 驻留的 .NET Remoting 对象。概括起来如下所示: