• 丰搜首页
• 文档中心
• 视频中心
• 丰搜贴吧
• 问题集锦
• 更多功能

选择显示字体大小

• 最大
• 较大
• 标准

asp.net2.0应用中定制安全凭证之理论篇

阅读提要 在缺省状况下，你只能使用visual studio 2005的一个本机实例来管理与asp.net 2.0一同发行的sql server数据库中的安全凭证。本文将向你展示怎样用一个web服务来包装asp.net 2.0提供者并通过使用一个windows表单应用程序来管理凭证存储从而扩展这种管理能力。

　　如今，无论是互联网还是企业内部局域网程序一般都要求使用定制的方式来存储和管理用户帐户和角色。为此，asp.net 2.0提供了一个现成的提供者模型和一个sql sever数据库。不幸的是，只能通过visual studio 2005来管理该凭证数据库且只能针对本机web应用程序。这无疑是非常不方便而且不能广泛使用的。

　　本文描述了一个超级用户可以使用的完全定制的安全管理应用程序。这个应用程序通过用一个web服务对asp.net 2.0提供者进行了包装并增加了一些功能。本文详细描述了其中的设计方法，面临的问题和包含在应用程序中的技术。同时还向你介绍了一些有用而强有力的技术，如基于接口的web服务，基于反射的web服务兼容性，高级c# 2.0编程，web服务安全性和web服务事务等。

　　一、asp.net 2.0凭证基础结构

　　基于互联网的应用程序常常不依赖windows帐户和组，而是依赖于基于表单的认证并结合某种如sql server的后台定制凭证存储。为了帮助开发者免除重复设计和构建这样的解决方案，asp.net 2.0发行中加入了一个现成的安全凭证基础结构。asp.net 2.0凭证存储并不仅可用于asp.net应用程序，而且asp.net web服务和windows表单应用程序都能使用它来管理它们的用户凭证。另外，windows通讯基础(编码名为indigo)服务也能被容易地设置来使用asp.net 2.0安全凭证存储。

　　asp.net 2.0使用一提供者模型来访问和管理凭证以避免把应用程序耦合到任何特定存储上。在利用抽象提供者模型的优点的同时由程序员来开发这个应用程序。超级用户负责选择和管理特定的凭证存储。图1显示出asp.net 2.0安全提供者的架构。

图1.asp.net 2.0安全提供者模型
　　membership provider负责管理用户，而role provider负责管理角色。在凭证存储中，每个用户或角色仅限于一应用程序之内。这样就允许不同应用程序使用一样的凭证存储而不会与彼此的用户名或角色相冲突。asp.net为sql服务器、windows和活动目录(见图1)等的凭证存储提供支持。为了安装sql server凭证数据库，可以运行as.net_regsql.exe程序，其位置是：

＜windows＞\microsoft.net\framework\＜version＞

　　这个安装程序创建一个称为as.netdb的新数据库-它包含一组应用程序的表、用户、角色以及存取这些表的存储过程。这个sql server数据库是运用最新的安全技术经过精心设计的。另外，asp.net 2.0还提供一套相应于提供者的类（图1）。

　　使用哪个提供者的信息被保存在应用程序的配置文件(app.config或web.config)中。你几乎不需要直接与特定的提供者进行交互；而是，存在两个静态助理类：membership和roles-它们负责从配置文件中读取使用哪个提供者。默认的提供者（即当没有指定提供者时）就是sql server。membership类（列表1)允许你创建和删除用户，检索关于用户的信息并观看口令策略。

　　列表1: membership助理类

[serializable]
public class membershipuser{
　public virtual bool changepassword(string oldpassword,string newpassword);
　public virtual string getpassword(string passwordanswer);
　public virtual string resetpassword(string passwordanswer);
　public virtual bool unlockuser();
　//其它成员
}
public static class membership{
　public static string applicationname{get;set;}
　public static membershipuser createuser(string username, string password);
　public static membershipuser createuser(string username, 
　string password, string email, string passwordquestion,
　string passwordanswer, bool isapproved, out membershipcreatestatus status);
　public static bool deleteuser(string username,bool deleteallrelateddata);
　public static membershipuser getuser(string username);
　public static void updateuser(membershipuser user);
　public static bool validateuser(string username,string password);
　public static bool enablepasswordreset{get;}
　public static bool enablepasswordretrieval{get;}
　//其它成员
}
　　例如，为了在"myapp"应用程序中创建一新用户，你仅需如下编码： 

membership.applicationname = "myapp";
membership.createuser("myuser","mypassword",...);
　　roles类允许你创建和删除用户角色，从角色中添加或删除用户，检索用户的角色会员信息以及验证角色会员。下面是该类的定义：

public static class roles{
　public static string applicationname{get;set;}
　public static void createrole(string rolename);
　public static bool deleterole(string rolename, bool throwonpopulatedrole);
　public static void addusertorole(string username, string rolename);
　public static void removeuserfromrole(string username, string rolename);
　public static string[] getallroles();
　public static string[] getrolesforuser(string username);
　public static string[] getusersinrole(string rolename);
　public static bool isuserinrole(string username, string rolename);
　//其它成员
}
　　例如，要把角色"manager"添加到应用程序"myapp"上，你可以如下编码：

roles.applicationname = "myapp";
roles.createrole("manager");