基于A(yíng)SP.NET的Web網(wǎng)絡(luò )應用程序開(kāi)發(fā)的安全策略實(shí)踐

基于A(yíng)SP.NET的Web網(wǎng)絡(luò )應用程序開(kāi)發(fā)的安全策略實(shí)踐 摘要:Web網(wǎng)絡(luò )應用開(kāi)發(fā)中,安全性是要考慮的關(guān)鍵問(wèn)題,本文通過(guò)開(kāi)發(fā)系統實(shí)踐,從系統規劃階段、設計開(kāi)發(fā)階段、發(fā)布運行階段三個(gè)方面詳細闡述安全策略的實(shí)現,總結出如何充分利用ASP.NET的安全機制、數據庫安全控制、增強管理員網(wǎng)絡(luò )安全防范意識,構建一個(gè)性能安全的Web應用程序。
關(guān)鍵詞:Web應用程序;web.config;認證和授權;視圖;存儲過(guò)程

1 前言

微軟公司推出的ASP.NET,可以非常方便和高效地規劃、設計、開(kāi)發(fā)和發(fā)布Web網(wǎng)絡(luò )應用程序。筆者利用ASP.NET為新疆職工培訓中心開(kāi)發(fā)了運行在校園網(wǎng)上的網(wǎng)絡(luò )辦公管理系統。該系統分為管理部門(mén)和教學(xué)部門(mén)兩個(gè)角色,實(shí)現了數據存儲、瀏覽查詢(xún)和教學(xué)分析統計功能,提高了培訓中心的信息化管理和校園網(wǎng)的利用價(jià)值。在整個(gè)系統的開(kāi)發(fā)過(guò)程中,考慮最多的就是安全問(wèn)題,相信這也是所有開(kāi)發(fā)人員開(kāi)發(fā)Web網(wǎng)絡(luò )應用程序所必須面對的問(wèn)題。因此本文針對基于A(yíng)SP.NET的Web網(wǎng)絡(luò )應用程序開(kāi)發(fā)的安全問(wèn)題,以我們開(kāi)發(fā)的系統為例,從3個(gè)方面來(lái)闡述實(shí)際解決策略:
(1)系統規劃階段的安全策略;
(2)設計開(kāi)發(fā)階段的安全策略;
(3)發(fā)布運行階段的安全策略。
希望我們的實(shí)踐能對利用ASP.NET開(kāi)發(fā)Web網(wǎng)絡(luò )應用程序的相關(guān)技術(shù)人員提供參考和借鑒。

2 安全策略實(shí)踐

2.1系統規劃階段
Web網(wǎng)絡(luò )應用程序,就是運行在Web應用服務(wù)器上的一個(gè)虛擬目錄及其子目錄下的所有文件、網(wǎng)頁(yè)、模塊以及可執行代碼的總和。根據系統需求分析,用戶(hù)分為管理部和教學(xué)部(對數據的操作權限有區分),因此建立兩個(gè)目錄分別存放相應的網(wǎng)頁(yè)文件。另外,還有數據庫文件夾、樣式文件夾、網(wǎng)頁(yè)模版文件夾等。而對數據庫表的操作文件放在特殊的文件夾bin下,因為該目錄是禁止任何瀏覽器訪(fǎng)問(wèn)的,從而避免了遠程客戶(hù)下載代碼的可能性。應用程序根目錄下除了上述目錄外,還有兩個(gè)重要的應用程序級文件:global.asax 和web.config(下文詳細分析)�？傊�,文件目錄的規劃是按類(lèi)別存放文件,重要文件存在bin目錄下。
2.2設計開(kāi)發(fā)階段
主要從后臺的數據庫設計、配置文件web.config及前臺界面設計三個(gè)內容,著(zhù)重闡述對安全問(wèn)題的解決策略。
2.2.1數據庫設計
為了提高訪(fǎng)問(wèn)數據的效率和安全性,能在后臺做的事情,就在后臺完成,能分開(kāi)獨立做的事情,就分開(kāi)獨立實(shí)現。
(1)充分利用后臺數據庫系統的視圖和存儲過(guò)程,如:創(chuàng )建帶參數的視圖,實(shí)現不同角色身份的用戶(hù)對各自權限范圍內的數據訪(fǎng)問(wèn)。
(2)報表設計及實(shí)現:Web應用程序實(shí)現動(dòng)態(tài)報表,開(kāi)始考慮用ASP.NET的數據控件Repeater,可以自由定義靈活的顯示方式,但通常比較麻煩,而且在代碼中字段名要出現,即:使用數據容器Container.DataItem("字段名")方式來(lái)顯示數據內容,降低了數據安全性。我們的做法是利用Bussiness Object 公司開(kāi)發(fā)的專(zhuān)業(yè)報表軟件CrystalReports10設計報表,通過(guò)ODBC數據源與數據庫連接,生成報表文件(*.rpt)后,在前臺利用報表控件CrystalReprotViewer,將報表文件加載到頁(yè)面實(shí)現各種報表。這種把數據源、報表文件、和頁(yè)面顯示文件分開(kāi)獨立實(shí)現,不僅豐富了報表顯示樣式和提高了網(wǎng)絡(luò )報表生成效率,而且極大地提高了訪(fǎng)問(wèn)數據的安全性。
(3)用戶(hù)口令存儲問(wèn)題:不要將實(shí)際的口令存儲在數據庫表中,因為口令直接放在數據庫或文件中存在安全隱患,因此要存儲加密后的口令。使用時(shí),例如當用戶(hù)登錄時(shí),對口令加密,然后與數據庫中存放的加密口令進(jìn)行比較。實(shí)現步驟如下:
首先,導入命名空間:

【基于A(yíng)SP.NET的Web網(wǎng)絡(luò )應用程序開(kāi)發(fā)的安全策略實(shí)踐】相關(guān)文章：

淺談基于Pushlet推技術(shù)的網(wǎng)絡(luò )應用程序開(kāi)發(fā)的研究07-26

基于Web技術(shù)的網(wǎng)絡(luò )考試系統10-22

基于WEB的網(wǎng)絡(luò )考試系統ASP+SQL10-05

基于A(yíng)SP.NET的DIY網(wǎng)站09-12

基于A(yíng)SP技術(shù)開(kāi)發(fā)Web數據庫檢索程序08-04

基于XML的智能應用程序的研究04-29

基于Java Struts框架和工作流技術(shù)的Web應用開(kāi)發(fā)08-15

基于WEB的在線(xiàn)考試系統05-15

基于Web的多媒體CAI課件開(kāi)發(fā)過(guò)程中若干問(wèn)題的研究和實(shí)踐09-01

基于Web服務(wù)的集成研究06-21