十、ASP.NET站点配置与安全（一）

配置文件

1、XML：eXtensible Markup Language（可扩展标记语言），标准通用标记语言的子集，是一种用于标记电子文件使其具有结构性的标记语言。

2、一般来说，一个服务器上有效的machine.config只有一个，保存了该服务器上所有web.config文件的根配置。

3、整体说来，ASP.Net的整个配置体系，就是一个基于文件夹结构的继承体系。

4、web.config文件是ASP.NET应用程序的站点配置文件，可以在站点的根目录中出现，也可以在任何一个子目录中出现，一个网站可以有多个web.config文件分布于不同的文件夹中，每个web.config文件负责管理自己所在文件夹及其子文件夹中的配置。而且子文件夹中的配置，会继承父文件夹中的配置，除非子文件夹的配置覆盖了父文件夹的配置。

5、对数据库连接字符串进行加密的最简单方式是使用如下命令：aspnet_regiis.exe -pdf "connectionStrings" "项目路径" -prov "DataProtectionConfigurationProvider"

6、对数据库连接字符串进行解密的最简单方式是使用如下命令：aspnet_regiis.exe -pdf "connectionStrings" "项目路径"

身份验证和授权

1、身份验证：是指验证用户是不是合法，并借以区别不同用户的过程。

2、授权：对用户进行身份（角色）识别后，允许或禁止执行特定操作的过程。

3、ASP.Net支持四种身份验证方式

    （1）Windows：Windows验证，即通过Windows操作系统当前登录的用户身份进行验证。优点是安全，缺点是配置复杂。

    （2）Passport：是 Microsoft 所提供的一项身份验证服务。它支持使用 Hotmail、MSN 和 .NET Messenger账号区分用户身份。优点是每个账户都能保证全球唯一，缺点是它仅适合在微软的项目中使用。

    （3）Forms：表单验证，即通过登录表单，填写用户名、密码，提交后进行验证。优点是灵活性强，缺点是安全性相对较弱。

    （4）None：匿名验证，即“不验证”，无法区分用户身份。

4、使用配置节配置身份验证信息，在Forms验证中：

（1）使用配置节配置要禁止的用户或角色，使用配置节配置要允许的用户或角色

（2）使用users属性表示用户列表，使用roles属性表示角色列表

（3）使用”?”表示匿名用户，使用”*”表示全部用户

5、身份验证的配置信息遵循配置文件之间“继承”的原则，并且子文件夹的配置当与父文件夹冲突时，会“重写”父文件夹中的配置。