Конфиденциальность и целостность

Конфиденциальность означает обеспечение невозможности прочтения данных для неавторизованных пользователей во время передачи их по сети или сохранении в хранилищах, таких как базы данных. Целостность — это обеспечение невозможности изменения данных никем во время передачи по сети или сохранения в хранилище. И то, и другое основано на шифровании.

Шифрование — процесс кодирования данных, делающий невозможным их прочтение другими пользователями. Шифрование в ASP.NET — полностью отдельное средство от аутентификации, авторизации и заимствования прав. Вы можете применять его в комбинации с этими средствами либо самостоятельно.

Как уже упоминалось ранее, шифровать Web-приложения может потребоваться по двум причинам:

• Для защиты коммуникаций (передачи данных по проводам). Например, вы хотите сделать невозможной кражу номеров кредитных карточек, используемых в вашей системе электронной коммерции, по открытым каналам Internet. Стандартный подход к этой проблеме состоит в применении SSL. SSL также реализует цифровые подписи для обеспечения гарантии целостности. SSL не реализуется ASP.NET. Это средство, предоставляемое IIS. Код вашей Web-страницы (или Web-службы) не зависит от того, применяется SSL или нет.
• Для защиты постоянной информации (в базе данных или в файле). Например, вы можете пожелать сохранить номер кредитной карточки пользователя в базе данных для будущего использования. Хотя вы можете сохранять эти данные в простом тексте и надеяться, что Web-сервер не будет взломан, однако это плохая идея. Вместо этого вам следует использовать классы шифрования, которые предлагает .NET, чтобы вручную шифровать данные перед их сохранением.

Не важно, что классы .NET, выполняющие шифрование, не связаны напрямую с ASP.NET. Фактически вы можете применять их в любых .NET приложениях. Подробнее о шифровании и цифровых подписях, а также управлении настраиваемым шифрованием будет рассказано в главе 25.

Связываем все вместе

Итак, как же заставить работать вместе аутентификацию, авторизацию и заимствование прав в Web-приложении?

Когда пользователи впервые посещают Web-сайт, они анонимны. Другими словами, ваше приложение не знает (и не заботится о том), кто они такие. Если только вы не аутентифицируете их, все так и останется.

По умолчанию анонимные пользователи могут обращаться к любой странице ASP.NET. Но когда пользователь запрашивает Web-страницу, анонимный доступ к которой закрыт, выполняется несколько шагов (показанных на рис. 19.2):

1. Запрос отправляется Web-серверу. Поскольку личность пользователя в этот момент не известна, ему предлагается зарегистрироваться, используя специальную Web-страницу или диалоговое окно регистрации браузера. Специфические детали процесса регистрации зависят от типа используемой аутентификации.

предыдущая    следующая страница    вначало главы    оглавление

808