Безопасность в приложениях ASP.NET

Как правило, веб-узел ASP.NET доступна любому, кто подключается к серверу, на котором размещены через локальную сеть или Интернет. Хотя эта ситуация идеально подходит для различных веб-приложений, но это не всегда соответствующем выборе проекта (например, сайт электронной торговли имеет в качестве предпосылки для безопасности финансовых транзакций, совершенных своих пользователей, что не благоприятствует этому доступность) .

ASP.NET предоставляет модель безопасности для защиты мощных веб-приложений и глубоко гибкий, но может начать создавать некоторую путаницу из-за разных уровней, которые она включает.

Большая часть работы программиста в области обеспечения безопасности веб-приложений, чтобы написать код, но не в определении соответствующих местах для реализации различных стратегий безопасности. Первый шаг заключается решить, какие области требуют применения средств контроля безопасности и что должно быть защищено.

Концепции безопасности не сложная, но включает в себя различные аспекты и уровни и таким образом часто заканчивает тем, что считается сложным. Рассмотрим, например, сайт электронной коммерции, который позволяет пользователям просматривать резюме ваших последних заказов. Первая линия обороны, что сайт, как это обрабатывать Войти процедура, при которой каждый пользователь идентифицируется, прежде чем они смогут увидеть свои данные. Это лишь один из уровней защиты, которые должны управлять сайтом, так как другой, например, защита баз данных, содержащих конфиденциальные данные и более высокий уровень защиты финансовых операций (с использованием шифрования). Из этого простого примера вы можете себе представить множество вещей, чтобы рассмотреть.

При разработке веб-приложений, поэтому целесообразно рассмотреть различные сценарии нападения, в котором же могут быть вовлечены, хотя это очень трудно определить заранее все. По этой причине целесообразно разделить безопасности на нескольких уровнях.

В рамках запросов веб-приложения обрабатываются первоначально веб-сервер IIS, который рассматривает тип файла. Если тип является действительным для ASP.NET сервер передает запрос так, чтобы она обрабатывается.

На следующем рисунке (взято с сайта Microsoft) является примером действия

Как вы можете видеть веб-клиента и ASP.NET приложения взаимодействуют с сервером IIS и определяет, если клиент запрашивает может прийти или нет приложений. Операционная система, с другой стороны взаимодействует с приложениями (через. NET Framework), как с сервером IIS. В этой схеме можно применить безопасности в нескольких точках.

• <<
• 1
• 2
• 3
• 4
• 5
• >>