Sikkerhed/Otto Knudsen 1 Sikkerhed Sikkerhed i ASP.NET Autentifikation (Authentication) Autorisation (Authorization)
Sikkerhed/Otto Knudsen 2 Overblik Sikkerhed i ASP.NET kontrolleres via.config-filen(filerne) Standard autentifikation er sat til Windows Standard autorisation er sat til at tillade anonymous (alle) tilgang machine.config
Sikkerhed/Otto Knudsen 3 Autentifikationskontrol Der gives 4 muligheder for autentifikation: Windows :autentificerer brugeren vha. de lokale Windows-konti, Windows prompter brugeren Forms :autentificerer brugeren via et egettilvirket sikkerheds- system; der skal bruges Login-side, osv … Passport :autentificerer brugeren via Microsoft's Passport system, kræver installation og opsætning af Passport-system None
Sikkerhed/Otto Knudsen 4 Sikkerheds-webkontroller ASP.NET 2.0 definerer en række nye sikkerhedsrelaterede kontroller: login autentifikations formular skiftende udseende baseret p å identitet kodeordsgendannelses-formular (kun uhashede kodeord) skiftende udseende alt efter hvordan brugeren er autentificeret viser brugernavn for autentificerede brugere oprettelsesformular til nye brugere formular til æ ndring af kodeord
Sikkerhed/Otto Knudsen 5 Eksempel "Login/Logout"-link giver mulighed for at logge ind – eller viser hvem der er logget ind: : Når brugeren ikke er logget ind Når brugeren er logget ind
Sikkerhed/Otto Knudsen 6 Autorisationskontrol Autorisation understøtter og underelementer "?" repræsenterer anonyme brugere "*" repræsenterer alle brugere ellers specificeres en kommasepareret liste af brugere Eksempel: nægt (deny) anonym tilgang tillad (allow) tilgang til "per" og "lis" nægt (deny) tilgat til alle andre Window-brugere Rækkefølgen er vigtig! ASP.NET anvender top- down, første match bestemmer tilgangen
Sikkerhed/Otto Knudsen 7 Eksempel Opret et Forms-baseret sikkerhedssystem < 5 minutter … angiv Forms-autentifikation i web.config, nægt anonym tilgang ("?") tilføj en ny WebForm – Login.aspx træk og slip en Login -kontrol på formen tilføj brugere via Visual Studio's "web app admin"-værktøj: Website menu > ASP.NET Configuration Security fanen … Opretter og befolker automatisk SQL Server 2005 databasen in App_Data!
Sikkerhed/Otto Knudsen 8 Brugerhåndtering Der gives sikkerhedsrelaterede kontroller, som håndterer generel funktionalitet: Oprettelse af bruger Ændring af kodeord Gendannelse af kodeord Træk og slip disse kontroller på en formular, og det burde virke … kommunikerer automatisk med den underliggende SQL Server 2005 database …
Sikkerhed/Otto Knudsen 9 Eksempel CreateUserWizard-kontrol opret en side, træk kontrollen ind på siden, og lav et link til den fra Login-siden …
Sikkerhed/Otto Knudsen 10 Finmasket tilgang Forskellige brugere kan have forskellige grader af tilgang … anvend -elementet til at kontrollere tilgang til filer og mapper. kun "knud" har tilgang til "admin"- mappen "lis", "knud" og "per" kan tilgå Salaries.asp- siden
Sikkerhed/Otto Knudsen 11 Rollebaseret sikkerhed ASP.NET understøtter brugen af roller, dvs. "brugergrupper" Definér roller via Website menu > ASP.NET Configuration Håndtér roller via Website menu > ASP.NET Configuration Definér nu autorisation ved brug af roller …. Bemærk brugen af apostroffer!