Рис. 19.3. Запрос Web-страницы, требующей аутентификации и авторизации

Средства безопасности
Internet Information Services

Прежде чем входящий запрос дойдет до исполняющей системы ASP.NET, IIS проверяет безопасность в соответствии со своей собственной конфигурацией. Таким образом, перед тем, как изучать подробности средств безопасности ASP.NET, вы должны познакомиться с первым стражем в конвейере безопасности вашего Web-приложения — средства безопасности IIS.

IIS предоставляет несколько важных механизмов безопасности, которые выполняют функции стражей, еще до того, как ASP.NET начинает обработку запросов. В основном, речь идет о следующих механизмах:

• Аутентификация. IIS поддерживает следующие виды аутентификации: Basic (базовая), Digest (дайджест), Passport (по паспорту) и Windows, а также аутентификацию с помощью сертификатов по каналу SSL. Любая аутентификация IIS в конечном итоге сводится к аутентификации пользователя Windows. Таким образом, IIS поддерживает только аутентификацию пользователей Windows.
• Авторизация. IIS поддерживает встроенную поддержку ограничений IP-адресов и просмотр списков контроля доступа Windows ACL.
• Конфиденциальность. Шифрование может быть обеспечено средствами SSL.

В последующих разделах вы ознакомитесь с деталями настройки безопасности IIS. Другие последующие главы, связанные с безопасностью, будут в основном посвящены деталям инфраструктуры безопасности ASP.NET. Вы всегда должны помнить о безопасности IIS, поскольку она оказывает влияние на поведение ASP.NET при разных настройках защиты, установленных в web.config.

Например, если ваше приложение ASP.NET желает использовать аутентификацию Windows, вы должны настроить IIS на применение либо Windows, либо аутентификации Basic (Digest). Если ваше приложение ASP.NET не желает использовать учетные записи Windows (и потому использует собственную аутентификацию форм), вы должны настроить IIS так, чтобы он разрешал вход анонимным пользователям.

предыдущая    следующая страница    вначало главы    оглавление

810