成員關(guān)系的概念在人類(lèi)社會(huì)中是一個(gè)層次比較低的概念��,源于希望屬于某個(gè)群組的意識(shí)��。同樣��,在ASP.NET 2.0程序開(kāi)始開(kāi)發(fā)涉及到成員關(guān)系的應(yīng)用程序時(shí)��,必須首先理解身份��、驗(yàn)證和授權(quán)這幾個(gè)關(guān)鍵的概念��。
成員關(guān)系的概念在人類(lèi)社會(huì)中是一個(gè)層次比較低的概念��,源于希望屬于某個(gè)群組的意識(shí)��。我們希望能覺(jué)得自己是某個(gè)團(tuán)隊(duì)的一部分��,讓別人知道我們是誰(shuí)��,因此Web搭上這個(gè)流行趨勢(shì)��,采用這個(gè)概念只是時(shí)間早晚的問(wèn)題��。如果坐下來(lái)想一想曾經(jīng)登錄過(guò)多少個(gè)站點(diǎn)并在這些站點(diǎn)上保存了簡(jiǎn)單的用戶(hù)信息��,可能會(huì)發(fā)現(xiàn)自己所屬的群組比一開(kāi)始想象的要多得多��。從出售書(shū)籍和小器具的站點(diǎn)到討論擁有一輛Ford Puma的好處的社區(qū)��,或者宣傳一個(gè)名為L(zhǎng)ook Around You的BBC TV喜劇節(jié)目的站點(diǎn)��,作者發(fā)現(xiàn)自己是會(huì)員的站點(diǎn)多得無(wú)法一一列舉��。接下來(lái)就會(huì)碰到一個(gè)熟悉的困難"登錄這個(gè)站點(diǎn)要使用哪個(gè)用戶(hù)名和口令?"
Web上最成功的站點(diǎn)之一��,Amazon.com��,一開(kāi)始只是一個(gè)書(shū)店��,但后面經(jīng)營(yíng)的范圍越來(lái)越大?�,F(xiàn)在當(dāng)用戶(hù)登錄Amazon時(shí)��,將發(fā)現(xiàn)整個(gè)頁(yè)面上全是與該用戶(hù)的消費(fèi)習(xí)慣有關(guān)的商品��。
在開(kāi)始開(kāi)發(fā)涉及到成員關(guān)系的應(yīng)用程序時(shí)��,必須首先理解幾個(gè)關(guān)鍵的概念��,這些概念是身份��、驗(yàn)證和授權(quán)��。
1��、身份——我是誰(shuí)
在考慮身份時(shí)��,我們可以用幾種獨(dú)一的特性來(lái)描述自己��。例如��,我是一個(gè)頭發(fā)金黃的女人,喜歡看科幻電影和組裝PC機(jī)��,但這些信息對(duì)于對(duì)我的羽毛球技術(shù)感興趣的人來(lái)說(shuō)并不是必需的��。保存在站點(diǎn)中的身份信息很可能只與一個(gè)人的某些方面相關(guān)��。例如��,一個(gè)購(gòu)物站點(diǎn)會(huì)保存用戶(hù)的姓名��、電話(huà)號(hào)碼��、電子郵件地址和家庭地址��,這些信息都與商品的銷(xiāo)售有關(guān)��。它們可能不會(huì)關(guān)心您的個(gè)人興趣(除非它們和Amazon的規(guī)模一樣大)��,所以它們并不需要保存關(guān)于用戶(hù)的這類(lèi)信息��,但是這并不妨礙它們擁有這些方面的身份信息��。
因此身份��,也就是我是誰(shuí)的概念��,是一組范圍很廣的實(shí)際情況的集合��。您可能曾經(jīng)在簡(jiǎn)歷里寫(xiě)下了很多實(shí)際情況��,但這些情況同樣只與潛在的雇主相關(guān)��。在簡(jiǎn)歷中保存和刪除哪些情況由自己決定��。在保存一個(gè)站點(diǎn)的成員的信息時(shí)��,情況也是一樣的��,必須在開(kāi)發(fā)階段就確定要保存成員的哪些實(shí)際情況��。
2��、身份驗(yàn)證——這就是我
在試圖登錄一個(gè)網(wǎng)站的時(shí)候��,用戶(hù)要輸入某些證書(shū)��。例如��,郵件地址及其口令的組合��。網(wǎng)站接下來(lái)必須判斷用戶(hù)是否就是自己聲明的那個(gè)人��,因此用戶(hù)輸入的郵件地址和口令的組合必須與保存在服務(wù)器文件中特定的郵件地址和口令組合相匹配。
身份驗(yàn)證的過(guò)程就是證明自己是自己所聲明的那個(gè)人的過(guò)程��。很多站點(diǎn)��,不論它們是零售商品還是提供社區(qū)服務(wù)��,都使用郵件地址和口令的組合作為身份驗(yàn)證方法��,這是一種經(jīng)過(guò)反復(fù)考驗(yàn)的方法��。雖然這種方法不是絕對(duì)安全��,但是只要選擇一個(gè)足夠可靠的口令并嚴(yán)格保密��,同時(shí)站點(diǎn)的代碼經(jīng)過(guò)嚴(yán)格的測(cè)試��,那么用戶(hù)的配置文件將只能由用戶(hù)本人使用��。
3��、授權(quán)——這是我能做的
在向網(wǎng)站輸入用戶(hù)名和口令之后��,Web服務(wù)器將不僅會(huì)驗(yàn)證口令和用戶(hù)名是否匹配��,還將查看站點(diǎn)管理員給用戶(hù)授予了什么權(quán)限��。身份驗(yàn)證之后的下一個(gè)步驟是授權(quán)��,這個(gè)步驟將檢索您所擁有的用戶(hù)賬戶(hù)類(lèi)型的更多信息��。
例如��,以一個(gè)銀行網(wǎng)站為例��。在用戶(hù)的登錄信息通過(guò)驗(yàn)證之后��,服務(wù)器將查看用戶(hù)在該站點(diǎn)上的權(quán)限��。與大多數(shù)用戶(hù)一樣��,您可以查詢(xún)賬戶(hù)��、在賬戶(hù)之間轉(zhuǎn)賬或者支付賬單��。然而��,如果銀行受到某個(gè)安全方面的恐嚇(類(lèi)似于Internet上到處流傳的網(wǎng)絡(luò)釣魚(yú)(phishing)電子郵件)��,您可能會(huì)發(fā)現(xiàn)自己突然無(wú)法通過(guò)這個(gè)在線(xiàn)應(yīng)用程序添加任何第三方代理訂單��,直到安全危機(jī)解除為止��。功能的關(guān)閉很可能是由管理員為一些或所有用戶(hù)設(shè)置一個(gè)特殊的標(biāo)記而進(jìn)行控制的,在頁(yè)面上告訴用戶(hù)他們不再有權(quán)限修改他們賬戶(hù)的詳細(xì)信息��。
4��、登錄站點(diǎn)
登錄站點(diǎn)的過(guò)程��,從用戶(hù)的角度看��,就是輸入一組證書(shū)��,然后根據(jù)自己的配置文件看到不同用戶(hù)界面的過(guò)程��。通常��,用戶(hù)所使用的證書(shū)是用戶(hù)名加口令的組合;然而��,對(duì)于安全性更高的站點(diǎn)��,例如銀行站點(diǎn)��,可以使用其他的方式登錄��,包括PIN和安全認(rèn)證��。如果不考慮向服務(wù)器傳送身份驗(yàn)證證書(shū)的方法��,那么身份驗(yàn)證的基本原則是一樣的��。一旦驗(yàn)證完成之后��,通過(guò)身份驗(yàn)證機(jī)制查詢(xún)用戶(hù)具有什么樣的權(quán)限就比較簡(jiǎn)單了��。
關(guān)鍵詞標(biāo)簽:ASP.NET程序安全
誅仙3飛升任務(wù)怎么做-誅仙3飛升任務(wù)流程最新2022
鐘離圣遺物推薦-原神鐘離圣遺物詞條