ระบบความปลอดภัย web application aspnet

บทที่ 12แนวทางระบบความปลอดภัยของ

Web Application เบือ้งตน

เนื้อหาบทเรียน

รูจักกับแนวทางระบบความปลอดภยัของ ASP.NET Web Application

Forms-Based Authentication

สาธิต: Forms-Based Authentication

การประยุกตใชตวัแปรระดับ Session

สรุป

รูจักกบัแนวทางระบบความปลอดภัยของ ASP.NET Web Application

พื้นฐานของระบบความปลอดภัย

แนวทางการสรางระบบความปลอดภัยเบือ้งตน

ขอมูลเพิ่มเติม

ความปลอดภัยและถูกตองของขอมลู

พื้นฐานของระบบความปลอดภัย

Authentication – Login ผานหรือไม

Authorization – สิทธิ์ในการใชงานทรพัยากรตางๆ มีแคไหน

แนวทางการสรางระบบความปลอดภัยเบื้องตน

Windows-Based Authentication (ใชมากใน Intranet)อาศัย UserName และ Password ของ Windows บวกความสามารถของ IIS

Forms-Based Authentication (ใชมากใน Internet - กลาวถึงในรายละเอยีด)

เทียบไดกับการสรางระบบ Authentication ขึ้นมาเอง แตอาศัยความสามารถของ ASP.NET Security Service (Class FormsAuthentication)

Microsoft Passport Authenticationการใชบริการ Passport Service ของ Microsoft (เสียเงิน แต Login ครั้งเดียว – ไมแนะนํา – ตอง Site ใหญจริงๆ)

สรางระบบความปลอดภยัเอง + การประยกุตใชตัวแปรระดับ Session (ใชมากใน Internet กบั ASP แตก็ประยกุตใชกบั ASP.NET ได)

แนวทางคลาย Forms-Based แตอาศัยตัวแปรระดับ Session เปนตัวคุมในการเขาถึง Page เมือ่มีการ Login ผานแลว

หลกัการทํางานเพิม่เติมใน ASP.NET Resources Kit

ขอมูลเพิ่มเติม

ขอมูลเพิ่มเติม (ตอ)

ความปลอดภัยและถูกตองของขอมูล

ขบวนการทํางานของ Forms-Based Authentication

การเซ็ตอัพ IIS

การกําหนด Authentication ในไฟล Web.Config

การกําหนด Authorization ในไฟล Web.Config

การสราง Login Form

ขบวนการทํางานของ Forms-Based Authentication

ขบวนการทํางานของ Forms-Based Authentication(ตอ)

การเซ็ตอัพ IIS

การกาํหนด Authentication ในไฟล Web.Config

การกําหนด Authorization ในไฟล Web.Config

URL Authorization: กําหนดในสวน system.web มีผลกระทบทั้ง Web App.

การกาํหนด Authorization ในไฟล Web.Config (ตอ)

URL Authorization: กําหนดในสวน location path มีผลกระทบทั้ง Page นัน้ๆ

การสราง Login Form

การสราง Login Form (ตอ)

FormsAuthentication Class: ให Methods ประเภท Shared มาเพื่อชวยในการจดัการกับ Authentication tickets (Cookies) – อยูภายใต Namespaces ชื่อ System.Web.Security (กอนใชตอง Imports)

Methods ที่สาํคัญ

การสราง Login Form (ตอ)

Methods ที่สาํคัญ (ตอ)

Identity Property ชวยในการเขาถงึขอมูลของ User ที่ Login

Properties ของ Identity ที่สาํคญั

สรุปขั้นตอนการสาธิตสราง Project Web Application ใหมชื่อ Forms-Based-Demoเพิ่มไฟล .aspx ทั้งหมดที่อยูใน demo\ch12 (ไมรวมซับโฟเดอร) เขาสูโปรเจกตใช IIS ตรวจสอบ Enable anonynymous accessBuild และ รนั Project: ทําการ Browse ไฟล Default.aspx และ .aspx อื่นๆ โดยในกรณีนี้ยังไมมีการกําหนด Security ใดๆ ในไฟล Web.configเปดไฟล “eb.config สังเกตวายังไมมีการกําหนดเรื่อง Security เพิ่มไฟล Web.config.All และ Web.config.Location ที่อยูใน demo\ch12 เขาสูโปรเจกตRename ชื่อไฟล Web.config ใหเปน Web.config.bakRename ชื่อไฟล Web.config.Location ใหเปน Web.configเปดไฟล Web.config สังเกตการกําหนด Authentication ในสวน system.webเปดไฟล Web.config สังเกตการกําหนด Authorization ในไฟล Web.Config ในสวน system.web และ location

สาธิต: Forms-Based Authentication (ตอ)

สรุปขั้นตอนการสาธิต (ตอ)เปดไฟล Default.aspx, NonSecure.aspx, SecureForAdmin.aspx, SecureForMember.aspxและ Login.aspx ตามลําดับ ศึกษาการ UI และ Code behindBuild และ รัน Project (ไม Login และ Login) เพื่อทดสอบ Security ตามเงื่อนไขใน Web.config (ใหมกีารลอง Browse Page สลบัไปมา สังเกตวาไมตอง Login อกีในกรณีที่ Browse ไปที่อืน่หลังจาก Login ถามีสิทธิ์ในการใช Page นั้นๆRename ชือ่ไฟล Web.config ใหเปน Web.config.LocationRename ชือ่ไฟล Web.config.All ใหเปน Web.configเปดไฟล Web.config และ ทําการศกึษาการกําหนด SecurityBuild และ รัน Project (ไม Login และ Login) เพื่อทดสอบ Security ตามเงื่อนไขใน Web.config

การประยุกตใชตัวแปรระดับ Session

เมื่อ Login (Authentication) ผาน (เทียบกับ Database หรือ อื่นๆ) ก็ทําการสรางตัวแปรระดับ Session เพื่อเก็บสถานะ วา Login ผานแลว พรอมทั้งเก็บสถานะอื่นๆ หลังจากนัน้อาจจะสงตอไปยัง Page อื่นๆ

ตัวอยางโคดของ ASP

การประยุกตใชตัวแปรระดับ Session (ตอ)

ทุกๆ Page ทีม่ีการกําหนดสิทธิการเขาใชงาน (Authorize) ดานบนๆ ของ Page จะตองมีการตรวจสอบสิทธิ์ จากขอมูลในตัวแปรระดับ Session ถาผานก็สามารถใชงานได ถาไมก็สงตอไปยังหนา Login

ตัวอยางโคดของ ASP

สรุป

รูจักกับแนวทางระบบความปลอดภยัของ ASP.NET Web Application

การประยุกตใชตวัแปรระดับ Session

ระบบความปลอดภัย web application aspnet

config web

ntsoft corporation limited

config authentication

iis new technology information

config security web

config authorization

location web

aspx security web

Documents

harish aspnet deployment

aspnet web deployment_using_visual_studio

developing an aspnet web application 28129

international aspnet training for trainers on the whole ......

aspnet schools in estonia

aspnet-entityframework on aspnet mvc

aspnet quick start tutorial

aspnet howto s

oracle aspnet

asp.net core webapi & angular - dotnetday · aspnet 4.6 and...

developing an aspnet web application

angularjs e aspnet

voved vo aspnet

aspnet menu

aspnet xml

aspnet tutorial09 creatingroles cs

aspnet tutorial12 errorhandling cs

belajar aspnet

aspnet tutorial14 elmah cs

aspnet image optimization