ASP.NET应用程序的成员管理与安全

来源：作者：IT专家网出处：巧巧读书 2007-10-31 进入讨论组

ASP.NET应用程序的开发者一直在努力通过编写代码来防御恶意用户来访问他们的应用程序。尽管如此，仍没有足够的时间来监控这些活跃的用户。

在波士顿的VSLive上，Robert Hurlbut说道“我如何知道有人在不断利用错误的密码试图登录？我如何道有人在不断的进行SQL注入攻击？我们做了很多的预防工作但是都远远不够。”

Hurlbut一直在提醒ASP.NET的开发者要养成好的开发习惯。要添加管理事件、性能计算、跟踪信息还要熟练掌握安全监控，这样可以帮助测试应用程序的性能和可用性。更多的类似工作可以通过ASP.NET 2.0的Health Monitoring Framework来完成。通过Web事件来执行，该框架适用于默认事件和自定义事件所涉及的安全、性能、故障、以及其他异常问题。

默认安全及审核的Web事件未授权尝试访问和运行时错误，非默认的事件将阻止开启和拒绝关闭服务攻击。开发者可以自定义事件，但是尽量不要涉及如信用卡卡号、密码一类的敏感数据。一定要小心谨慎因为不可能只有你一个人有机会看到日志文件。
此外，连带这些工具的还有保护ASP.NET应用程序的成员管理工具。通过七个ASP.NET 2.0提供的成员控制来创建用户，显示登录信息以及展示不同类型用户的不同信息。

在VSLive, Chris Kinsman向开发者展示了如何使用和配置这些控制功能以及如何配置安全。Kinsman还提到了密码覆盖控件。可以进行例如忘记密码时的密码提示问题等功能，还可以进行密码重至。另外CreateUserWizard还可以设定自动创建密码或是强制密码安全性

文章地址： http://www.qqread.com/aspdotnet/n372496.html