Sikkerhed/Otto Knudsen 1 Sikkerhed  Sikkerhed i ASP.NET  Autentifikation (Authentication)  Autorisation (Authorization)

Præsentationer af emnet: "Sikkerhed/Otto Knudsen 1 Sikkerhed  Sikkerhed i ASP.NET  Autentifikation (Authentication)  Autorisation (Authorization)"— Præsentationens transcript:

1 Sikkerhed/Otto Knudsen 1 Sikkerhed  Sikkerhed i ASP.NET  Autentifikation (Authentication)  Autorisation (Authorization)

2 Sikkerhed/Otto Knudsen 2 Overblik  Sikkerhed i ASP.NET kontrolleres via.config-filen(filerne)  Standard autentifikation er sat til Windows  Standard autorisation er sat til at tillade anonymous (alle) tilgang machine.config

3 Sikkerhed/Otto Knudsen 3 Autentifikationskontrol  Der gives 4 muligheder for autentifikation:  Windows :autentificerer brugeren vha. de lokale Windows-konti, Windows prompter brugeren  Forms :autentificerer brugeren via et egettilvirket sikkerheds- system; der skal bruges Login-side, osv …  Passport :autentificerer brugeren via Microsoft's Passport system, kræver installation og opsætning af Passport-system  None

4 Sikkerhed/Otto Knudsen 4 Sikkerheds-webkontroller  ASP.NET 2.0 definerer en række nye sikkerhedsrelaterede kontroller:   login autentifikations formular   skiftende udseende baseret p å identitet   kodeordsgendannelses-formular (kun uhashede kodeord)   skiftende udseende alt efter hvordan brugeren er autentificeret   viser brugernavn for autentificerede brugere   oprettelsesformular til nye brugere   formular til æ ndring af kodeord

5 Sikkerhed/Otto Knudsen 5 Eksempel  "Login/Logout"-link giver mulighed for at logge ind – eller viser hvem der er logget ind: : Når brugeren ikke er logget ind Når brugeren er logget ind

6 Sikkerhed/Otto Knudsen 6 Autorisationskontrol  Autorisation understøtter og underelementer  "?" repræsenterer anonyme brugere  "*" repræsenterer alle brugere  ellers specificeres en kommasepareret liste af brugere  Eksempel:  nægt (deny) anonym tilgang  tillad (allow) tilgang til "per" og "lis"  nægt (deny) tilgat til alle andre Window-brugere Rækkefølgen er vigtig! ASP.NET anvender top- down, første match bestemmer tilgangen

7 Sikkerhed/Otto Knudsen 7 Eksempel  Opret et Forms-baseret sikkerhedssystem < 5 minutter …  angiv Forms-autentifikation i web.config, nægt anonym tilgang ("?")  tilføj en ny WebForm – Login.aspx  træk og slip en Login -kontrol på formen  tilføj brugere via Visual Studio's "web app admin"-værktøj:  Website menu > ASP.NET Configuration  Security fanen …  Opretter og befolker automatisk SQL Server 2005 databasen in App_Data!

8 Sikkerhed/Otto Knudsen 8 Brugerhåndtering  Der gives sikkerhedsrelaterede kontroller, som håndterer generel funktionalitet:  Oprettelse af bruger  Ændring af kodeord  Gendannelse af kodeord  Træk og slip disse kontroller på en formular, og det burde virke …  kommunikerer automatisk med den underliggende SQL Server 2005 database …

9 Sikkerhed/Otto Knudsen 9 Eksempel  CreateUserWizard-kontrol  opret en side, træk kontrollen ind på siden, og lav et link til den fra Login-siden …

10 Sikkerhed/Otto Knudsen 10 Finmasket tilgang  Forskellige brugere kan have forskellige grader af tilgang …  anvend -elementet til at kontrollere tilgang til filer og mapper. kun "knud" har tilgang til "admin"- mappen "lis", "knud" og "per" kan tilgå Salaries.asp- siden

11 Sikkerhed/Otto Knudsen 11 Rollebaseret sikkerhed  ASP.NET understøtter brugen af roller, dvs. "brugergrupper"  Definér roller via Website menu > ASP.NET Configuration  Håndtér roller via Website menu > ASP.NET Configuration  Definér nu autorisation ved brug af roller …. Bemærk brugen af apostroffer!