身份验证模块
asp.net 2.0 在计算机级别的 Web.config 文件中定义一组 HTTP 模块。其中包括大量身份验证模块,如下所示:
<httpModules>
<add name="WindowsAuthentication"
type="System.Web.Security.WindowsAuthenticationModule" />
<add name="FormsAuthentication"
type="System.Web.Security.FormsAuthenticationModule" />
<add name="PassportAuthentication"
type="System.Web.Security.PassportAuthenticationModule" />
</httpModules>
只加载一个身份验证模块,这取决于该配置文件的 authentication 元素中指定了哪种身份验证模式。该身份验证模块创建一个 iprincipal 对象并将它存储在 httpcontext.user 属性中。这是很关键的,因为其他授权模块使用该 iprincipal 对象作出授权决定。
当 IIS 中启用匿名访问且 authentication 元素的 mode 属性设置为 none 时,有一个特殊模块将默认的匿名原则添加到 httpcontext.user 属性中。因此,在进行身份验证之后,httpcontext.user 绝不是一个空引用(在 Visual Basic 中为 nothing)。
windowsauthenticationmodule
如果 Web.config 文件包含以下元素,则激活 windowsauthenticationmodule 类。
<authentication mode="Windows" />
WindowsAuthenticationModule 类负责创建 windowsprincipal 和 windowsidentity 对象来表示经过身份验证的用户,并且负责将这些对象附加到当前 Web 请求。
对于 Windows 身份验证,遵循以下步骤:
· WindowsAuthenticationModule 使用从 IIS 传递到 ASP.NET 的 Windows 访问令牌创建一个 windowsprincipal 对象。该令牌包装在 httpcontext 类的 workerrequest 属性中。引发 authenticaterequest 事件时,windowsauthenticationmodule 从 httpcontext 类检索该令牌并创建 windowsprincipal 对象。httpcontext.user 用该 windowsprincipal 对象进行设置,它表示所有经过身份验证的模块和 ASP.NET 页的经过身份验证的用户的安全上下文。
· WindowsAuthenticationModule 类使用 P/Invoke 调用 Win32 函数并获得该用户所属的 Windows 组的列表。这些组用于填充 windowsprincipal 角色列表。
· WindowsAuthenticationModule 类将 windowsprincipal 对象存储在 httpcontext.user 属性中。随后,授权模块用它对经过身份验证的用户授权。
注:defaultauthenticationmodule 类(也是 ASP.NET 管道的一部分)将 thread.currentprincipal 属性设置为与 httpcontext.user 属性相同的值。它在处理 authenticaterequest 事件之后进行此操作。
授权模块
WindowsAuthenticationModule 类完成其处理之后,如果未拒绝请求,则调用授权模块。授权模块也在计算机级别的 Web.config 文件中的 httpmodules 元素中定义,如下所示:
<httpModules>
<add name="UrlAuthorization"
type="System.Web.Security.UrlAuthorizationModule" />
<add name="FileAuthorization"
type="System.Web.Security.FileAuthorizationModule" />
<add name="AnonymousIdentification"
type="System.Web.Security.AnonymousIdentificationModule" />
</httpModules>
urlauthorizationmodule
调用 urlauthorizationmodule 类时,它在计算机级别或应用程序特定的 Web.config 文件中查找 authorization 元素。如果存在该元素,则 urlauthorizationmodule 类从 httpcontext.user 属性检索 iprincipal 对象,然后使用指定的动词(GET、POST 等)来确定是否授权该用户访问请求的资源。
fileauthorizationmodule
接下来,调用 fileauthorizationmodule 类。它检查 httpcontext.user.identity 属性中的 iidentity 对象是否是 windowsidentity 类的一个实例。如果 iidentity 对象不是 windowsidentity 类的一个实例,则 fileauthorizationmodule 类停止处理。
如果存在 windowsidentity 类的一个实例,则 fileauthorizationmodule 类调用 accesscheck Win32 函数(通过 P/Invoke)来确定是否授权经过身份验证的客户端访问请求的文件。如果该文件的安全描述符的随机访问控制列表 (DACL) 中至少包含一个 read 访问控制项 (ACE),则允许该请求继续。否则,fileauthorizationmodule 类调用 httpapplication.completerequest 方法并将状态码 401 返回到客户端。
本文:http://www.qqread.com/aspdotnet/n196681.html
更多内容请看Windows操作系统安装、Windows权限设置、Windows操作系统安全集专题,或进入讨论组讨论。
相关专题
- Windows操作系统安装 (15630篇文章)
- Windows权限设置 (10247篇文章)
- Windows操作系统安全集 (18697篇文章)
- .NET移动与嵌入式技术 (5968篇文章)
- .NET开发手册 (5669篇文章)
- ASP.NET教程 (8464篇文章)
- Windows频道 (9821篇文章)
- ASP.NET应用篇 (2639篇文章)
- .NET开发人员犯的6大安全错误 (6次浏览)
- 请跟我来--使用Ext搞个原型 (1次浏览)
- ASP.NET 3.5 Extensions带来什么 (1次浏览)
- 应用WEB标准会使ScrollTop属性失效! (0次浏览)
- Cache用法之缓存页面和缓存数据 (0次浏览)
- 支持正则表达式的UrlMapping (0次浏览)
- 关于ASP.NET 2.0的目录结构变化 (0次浏览)
- WPF中Closing窗体时调用Hide()方法异常 (0次浏览)
- 对象数组根据某属性列的灵活排序 (0次浏览)
- DB2 9和ASP.NET 2.0构建下一代应用程序 (0次浏览)
