十、ASP.NET站点配置与安全(一)

配置文件

1、XML:eXtensible Markup Language(可扩展标记语言),标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。

2、一般来说,一个服务器上有效的machine.config只有一个,保存了该服务器上所有web.config文件的根配置。

3、整体说来,ASP.Net的整个配置体系,就是一个基于文件夹结构的继承体系。

4、web.config文件是ASP.NET应用程序的站点配置文件,可以在站点的根目录中出现,也可以在任何一个子目录中出现,一个网站可以有多个web.config文件分布于不同的文件夹中,每个web.config文件负责管理自己所在文件夹及其子文件夹中的配置。而且子文件夹中的配置,会继承父文件夹中的配置,除非子文件夹的配置覆盖了父文件夹的配置。

5、对数据库连接字符串进行加密的最简单方式是使用如下命令:aspnet_regiis.exe -pdf "connectionStrings" "项目路径" -prov "DataProtectionConfigurationProvider"

6、对数据库连接字符串进行解密的最简单方式是使用如下命令:aspnet_regiis.exe -pdf "connectionStrings" "项目路径"


身份验证和授权

1、身份验证:是指验证用户是不是合法,并借以区别不同用户的过程。

2、授权:对用户进行身份(角色)识别后,允许或禁止执行特定操作的过程。

3、ASP.Net支持四种身份验证方式

    (1)Windows:Windows验证,即通过Windows操作系统当前登录的用户身份进行验证。优点是安全,缺点是配置复杂。

    (2)Passport:是 Microsoft 所提供的一项身份验证服务。它支持使用 Hotmail、MSN 和 .NET Messenger账号区分用户身份。优点是每个账户都能保证全球唯一,缺点是它仅适合在微软的项目中使用。

    (3)Forms:表单验证,即通过登录表单,填写用户名、密码,提交后进行验证。优点是灵活性强,缺点是安全性相对较弱。

    (4)None:匿名验证,即“不验证”,无法区分用户身份。

4、使用配置节配置身份验证信息,在Forms验证中:

(1)使用配置节配置要禁止的用户或角色,使用配置节配置要允许的用户或角色

(2)使用users属性表示用户列表,使用roles属性表示角色列表

(3)使用”?”表示匿名用户,使用”*”表示全部用户

5、身份验证的配置信息遵循配置文件之间“继承”的原则,并且子文件夹的配置当与父文件夹冲突时,会“重写”父文件夹中的配置。

你可能感兴趣的:(十、ASP.NET站点配置与安全(一))