所有.NET的應(yīng)用程序都將其信息保存在一個基于XML的配置文件里�。一般來說,這個.config配置文件位于應(yīng)用程序可執(zhí)行文件的目錄下�����。但是�,Web應(yīng)用程序會使用位于應(yīng)用程序根目錄下的web.config文件。用于ASP.NET應(yīng)用程序的web.config包含的信息和其應(yīng)用程序大多數(shù)的操作都相關(guān)?,F(xiàn)在剖析一個web.config示例文件,看看在其中找到哪些和安全相關(guān)的設(shè)置�����。
配置文件的設(shè)置和區(qū)段
首先�,看一下Listing A里的配置文件的整體結(jié)構(gòu)。這個文件作為XML文檔必須有一個根元素把其他所有的元素都包括進來�����。很奇怪的是����,在這里根元素是<configuration>。在根元素之下是<system.web>和<appSettings>區(qū)段。<system.web>這一區(qū)段會辨別它所包括的用于缺省Web服務(wù)器的信息����,包括安全信息。<AppSettings>這一區(qū)段放置著用于應(yīng)用程序的所有全局?jǐn)?shù)據(jù)��。已經(jīng)說過����,數(shù)據(jù)庫連接字符串能夠被很好地保存下來。例子里�����,那里保存了Web網(wǎng)站無DSN的ODBC連接字符串��。
自定義錯誤頁面
<system.web>下的第一項是<customErrors>��,能夠指定一些頁面��,以便在用戶碰到各種錯誤的時候引導(dǎo)到這些頁面���。在例子里,如果發(fā)生404錯誤��,用戶將被引導(dǎo)到/errorpages/FileNotFound.html頁面。碰到任何其他錯誤的時候����,用戶會被引導(dǎo)到/errorpages/GeneralError.html頁面。
驗證
<authentication>這一區(qū)段定義了服務(wù)器進行用戶驗證這一過程的細(xì)節(jié)��。所支持的三種不同模式是Windows����、Forms和Passport。現(xiàn)在來仔細(xì)看看每種模式:
Windows驗證通過Windows的系統(tǒng)帳號來驗證用戶�����,例如活動目錄(Active Directory)���。Windows驗證是最安全的驗證形式����,對于程序員來說這種模式是很簡單的��,因為整個過程都是由操作系統(tǒng)來處理的����。但是�����,網(wǎng)站的每個用戶都需要一個系統(tǒng)帳號�,所以這種模式會被限制在企業(yè)內(nèi)部網(wǎng)(intranet)的應(yīng)用程序里���。
Passport驗證使用護照來驗證用戶��,是第二安全的驗證方式�。其最好的用武之地是大型的���、活動的Internet電子商務(wù)應(yīng)用程序��,這些程序會驗證用戶的服務(wù)使用費��。這種模式是.NET所選擇的驗證方法�。
Forms驗證是安全性最低的驗證方法�,因為必須要由應(yīng)用程序自己來處理驗證過程。但是���,這是最有可能在Internet應(yīng)用程序上使用的模式,因為所需要的管理和維護是最少的����。
查一下Listing A就可以看到這個網(wǎng)站使用了Forms驗證�?�?梢灾付ㄒ粋€希望的域名����。在這里,使用的是.ASPXAUTH�����,其功能和名稱其實是名不符實的��。只不過是把這個元素放進去����,用以提醒它的確有個名字。
還會看到�����,已經(jīng)為登錄頁面指定了相關(guān)的URL:/LoginForm.aspx��。當(dāng)用戶試圖訪問一個安全頁面時���,無法通過驗證的用戶就會被引導(dǎo)到這個URL�����。匿名用戶���,如果允許訪問的授權(quán)區(qū)域的話�����,就不會被自動送到這個頁面�。
