1、“.....使 开发者恰当地认证其使用者 ,并在应用过程中获得正确的安全之本 三个层次的认证是基于表单的 ,身份证书和视窗认证 综述文献仅限于上述三个领域 关 键 词 表单 身份证书 视窗认证 中图分类号 文献标识码 文章编号 安全是开发人员和应用程序架构师首要关注的问题 。 由于不同类型的网站 有不同的安全需要，开发人员需要知道 需要什么程度的 安全 运行 ，并 为他们的程序选择适当的 安全模式 。 有 些网站 发布的 信息 不来自 用户 ，而是通过搜索引擎等广泛渠道来收集 。 另外 些网站，可能 要收集 用户的敏感信息 ，比如 信用卡号码 ，这些网站需要 非常严格的 安全 措施 ，以避免 来自外部的 恶意攻击。 安全的基本操作 在 应用程序 的 环境中安全的 基本 操作 涉及 三步即 验证......”。

2、“.....验证的过程中 认 证用户身份 ,允许或拒绝请求 。 这涉及到接受 用户 凭据如用户名和密码 和凭证核对 。经过身份验证， 合法 用户 对 资源 的请 求 将 得到满足。接下来段时间 ，用户 请求资源无需再进行 身份验证，直到用户 退出这个 应用 程序 。 授权是给予 用户访问特定资源 的资格 。模拟的过程， 是 使应用程序 确认 用户的身份，从而 获得 要求的其他资源 。 基于模拟 的 身份 ，请求 资源将被授予或者拒绝 。 的验证 验证 是 应用程序的安全个重要的 特征 。在 中，验证 表现 在两个层次上 ， 首先， 信息服务 将 执行 必要的验证，然后 把用户 请求发 送到 中 ，如 图 所描述的。 应用程序的 服务器基本是 。因此，每 个 应用程序可以继续利用 所提供的的安全 性选项。当用户请求特定资源 时 ......”。

3、“..... 验证用户的请求，然后 把 认证用户 发送给 工作进程。 工作进程将决定是否模拟验证 所提供的 用户 。如果 文件 中的 模仿配置是启用的 ， 工作进 程 将 模拟验证使用者。否则， 将自行验证用户 身份。毕竟， 决定 用户是否有权访问这些资源。如果他们 被 允许 ， 提供请求的服务 否者他将 个 拒绝登入 的 讯息传回给用户。 图 和 的安全流程 通过几 种 认证 机制 提供了内置 的 用户身份验证 ， 它们 是基于 表单 的身份验证，应用程序使用自定义身份验证模式的 支持 来确保安全身份证书， 应用程序使用微软 的身份证书来 身份验证 ，身份证书 是微软开发的 个 单点登录技术 ，还有视 窗 验证 ， 应用程序使用 从 集成 视窗 身份验证中 获得 的 用户 名单来验证用户 ......”。

4、“.....或 自行开发 验证 机制 。在这种情况下， 可以 把 中身份验证模式设置 为关闭 。本文将简要地 涉及基于表单的 ,身份证书和视窗认证。 基于表单的 认证 基于表单的 认证验证 是 用定制逻辑执行 来 验证用户， 运 用 了 而无需担心 管理。这使开发 人员 获得更多的 权限去 指定哪些文件在网站上可获取和由何人 获取 ，并可以识别的登录页 。 这机制将自动重定向未 验证 用户到 登录页，并请他们提供适当 的凭据例如，用户名 密码组合 。如果登录成功 ， 分配 给用户，并重定向到他们原先 请 求 的 特定资源。此 允许用户 反复访问 特 定 资源，而不必 重新执行 登录机制 。 显示如下 图 表 单 认证流 程 在上图中， 首先 用户 请求资源 。这 请 求将 先 到 达 ，由 进行 用户身份验证的。如果 启用匿名访问......”。

5、“..... 会 将 把 请求转到 应用程序。 中查 看 是否 有 有效的身份验证 附 加 请求 中 。如果 有 ，它意味着用户 先前已通过 验证。 将执行授权检查。如果用户 有 访问这些资源 的权限 ，将被 允许 访问。否则 返回登入失败的信息 。如果提出的请求没有 附带 任何 ， 将 重定向用户登录页面，并 要求用户进行身份验证 。应用程序代码检查 身份 证书。如果身份验证 通过 ， 将 以 附加验证的形式 返回 。如果失败了，用户可以被重定向到登录页 并告诉用户，该用户名 密码无效。 建立基于表单的 认证 般来说，建立 基于表单的 认证涉及 个步骤 启用匿名访问 二配置 文件 中的 三 设 定 文件 中的 四 创建登录页。 启用匿名访问 这有许多工作要做，因为大多数的用户 被认定为非视窗 用户，所以他们通过进入 ......”。

6、“..... 二配置 文件 中的 文件包含了个 应用程序的 等级 和身份验证服务的类型 等 相关信息。该 表单 验证 通过 设置 应用程序的身份验证模式属性 为表单来激活 正如 上面的代码， 属性 为 的名称 。 属性设置为登录 页面 。如需，这是该网页所使用的身份验证的用户凭据。如果用户没有通过验证 ，请求将 重定向到特定网址 。 保护属性 的 有效值 分 为 所有 ，无，加密和验证 。 保护设置为所有 ， 这导致 运行 时 不仅加密 的内容，而且验证 的内容 。 如果 设置为无， 它不使用任何加密或验证。指定加密将使用 或 加密算法加密 中 的 数据 验证不这样做 ， 指定验证 的数据未作改动的，而不是加密 的内容。超时设置为 ，这意味着在 分钟 后 身份验证 将过期。 这样做的目的是 减少 通过 验证 偷窃别人的机会......”。

7、“..... 将被经常地再生。路径属性 是 指 被发送到用户端的路径。它被设置为 这意味着在 路径是根目录。 三配置 文件 中的 为 应用程序 添加授权服务 。要做到这点， 添加 文 件 中的 如上面所解释，在用户提供了有效的证书 后 ，用户将被重定向到特定的网页。然而，授权在此代码 中 将拒绝 除 外 所有用户的访问。 四创建登录页 这是重定向未经验证用户的最后步，这样他们就可以提供其 身份 证书，通常是种形式的用户名和密码，登录到受保护的资源 的授权 。在登录页，必须 通过对比 数据库 来 验证递交 的身份证 书。有效的用户名和密码可以存储在 的凭据 节 然而，以明文形式存储密码是 很 不安全 的 。此外，在 文件 中 存储数千 个用户 名和密码 也 是不现实的 。 为 解决这个问题，用户名和密码都存储在 数据库中......”。

8、“..... 同时 页面也因为身份证书需比对 用户名和密码存储 在 数据库 中而发生 些改变。 身份 证书 如前所述，这个验证机制提供了个 集中的认 证服务，可 为 会员提供 特有的访问权 。 在 下列情况下使用 身份认证 用户名 密码数据库或登入页 不易 维护 二 希望 提供个性化的内容 三该网站将与其他 认证 网站 结合 四希望给 用户 特有的访问权。 创建身份证书 为了实施这身份 认证 模式，必须在服务器上安装 身份证书 软件开发套件和注册微软 身份证书 。 ,下面的代码 设置 文件的身份 认 证模式 设置为 身份证书 该 身份证书的重导向地址 属性设置为内部 ， 这意味着未经验证的请求能够得到 相同 的信息。 的属性还可以是除 外的其他字符串，般是 ， 用来重定位 未经验证的请求......”。

9、“..... 视窗认证 可与 提供的 除匿名身份验证 外的 几乎所有的验证方法 结合 如基本，摘要式 ， 或 身份验证这里 无需 写任何代码来验证用户的 已经验证自己的 凭据。基本上， 视窗认证 使用 的身份验证功能 。 将 先 完成 它的验证功能，然后由 决定是 否 给予 授权或 拒绝服务 。 这种机制通常是 在 用户是 域和 通过 身份验证的用户 时使用， 代码执行 在 安全性 与用户的 帐户相同的 环境中。 当用户请求具体 的 资源，这要求将前往 。 中对用户进行身份验证和 发放 安全令牌给它。然后，将通过认证的要求和安全令牌 转发给 中。如果模拟启用， 模拟用户使用安全令牌重视，并在 文件 的 授权 节中的 查看 使用者是否 被 授权访问的资源。如果获得批准， 将通过 发送 用户所要求的资源，否则，它发出的讯息给使用者......”。