基于ASP.NET的Web網(wǎng)絡(luò)應(yīng)用程序開發(fā)的安全策略實踐

基于ASP.NET的Web網(wǎng)絡(luò)應(yīng)用程序開發(fā)的安全策略實踐 摘要:Web網(wǎng)絡(luò)應(yīng)用開發(fā)中,安全性是要考慮的關(guān)鍵問題,本文通過開發(fā)系統(tǒng)實踐,從系統(tǒng)規(guī)劃階段、設(shè)計開發(fā)階段、發(fā)布運(yùn)行階段三個方面詳細(xì)闡述安全策略的實現(xiàn),總結(jié)出如何充分利用ASP.NET的安全機(jī)制、數(shù)據(jù)庫安全控制、增強(qiáng)管理員網(wǎng)絡(luò)安全防范意識,構(gòu)建一個性能安全的Web應(yīng)用程序。
關(guān)鍵詞:Web應(yīng)用程序;web.config;認(rèn)證和授權(quán);視圖;存儲過程

1 前言

微軟公司推出的ASP.NET,可以非常方便和高效地規(guī)劃、設(shè)計、開發(fā)和發(fā)布Web網(wǎng)絡(luò)應(yīng)用程序。筆者利用ASP.NET為新疆職工培訓(xùn)中心開發(fā)了運(yùn)行在校園網(wǎng)上的網(wǎng)絡(luò)辦公管理系統(tǒng)。該系統(tǒng)分為管理部門和教學(xué)部門兩個角色,實現(xiàn)了數(shù)據(jù)存儲、瀏覽查詢和教學(xué)分析統(tǒng)計功能,提高了培訓(xùn)中心的信息化管理和校園網(wǎng)的利用價值。在整個系統(tǒng)的開發(fā)過程中,考慮最多的就是安全問題,相信這也是所有開發(fā)人員開發(fā)Web網(wǎng)絡(luò)應(yīng)用程序所必須面對的問題。因此本文針對基于ASP.NET的Web網(wǎng)絡(luò)應(yīng)用程序開發(fā)的安全問題,以我們開發(fā)的系統(tǒng)為例,從3個方面來闡述實際解決策略:
(1)系統(tǒng)規(guī)劃階段的安全策略;
(2)設(shè)計開發(fā)階段的安全策略;
(3)發(fā)布運(yùn)行階段的安全策略。
希望我們的實踐能對利用ASP.NET開發(fā)Web網(wǎng)絡(luò)應(yīng)用程序的相關(guān)技術(shù)人員提供參考和借鑒。

2 安全策略實踐

2.1系統(tǒng)規(guī)劃階段
Web網(wǎng)絡(luò)應(yīng)用程序,就是運(yùn)行在Web應(yīng)用服務(wù)器上的一個虛擬目錄及其子目錄下的所有文件、網(wǎng)頁、模塊以及可執(zhí)行代碼的總和。根據(jù)系統(tǒng)需求分析,用戶分為管理部和教學(xué)部(對數(shù)據(jù)的操作權(quán)限有區(qū)分),因此建立兩個目錄分別存放相應(yīng)的網(wǎng)頁文件。另外,還有數(shù)據(jù)庫文件夾、樣式文件夾、網(wǎng)頁模版文件夾等。而對數(shù)據(jù)庫表的操作文件放在特殊的文件夾bin下,因為該目錄是禁止任何瀏覽器訪問的,從而避免了遠(yuǎn)程客戶下載代碼的可能性。應(yīng)用程序根目錄下除了上述目錄外,還有兩個重要的應(yīng)用程序級文件:global.asax 和web.config(下文詳細(xì)分析)�？傊�,文件目錄的規(guī)劃是按類別存放文件,重要文件存在bin目錄下。
2.2設(shè)計開發(fā)階段
主要從后臺的數(shù)據(jù)庫設(shè)計、配置文件web.config及前臺界面設(shè)計三個內(nèi)容,著重闡述對安全問題的解決策略。
2.2.1數(shù)據(jù)庫設(shè)計
為了提高訪問數(shù)據(jù)的效率和安全性,能在后臺做的事情,就在后臺完成,能分開獨立做的事情,就分開獨立實現(xiàn)。
(1)充分利用后臺數(shù)據(jù)庫系統(tǒng)的視圖和存儲過程,如:創(chuàng)建帶參數(shù)的視圖,實現(xiàn)不同角色身份的用戶對各自權(quán)限范圍內(nèi)的數(shù)據(jù)訪問。
(2)報表設(shè)計及實現(xiàn):Web應(yīng)用程序?qū)崿F(xiàn)動態(tài)報表,開始考慮用ASP.NET的數(shù)據(jù)控件Repeater,可以自由定義靈活的顯示方式,但通常比較麻煩,而且在代碼中字段名要出現(xiàn),即:使用數(shù)據(jù)容器Container.DataItem("字段名")方式來顯示數(shù)據(jù)內(nèi)容,降低了數(shù)據(jù)安全性。我們的做法是利用Bussiness Object 公司開發(fā)的專業(yè)報表軟件CrystalReports10設(shè)計報表,通過ODBC數(shù)據(jù)源與數(shù)據(jù)庫連接,生成報表文件(*.rpt)后,在前臺利用報表控件CrystalReprotViewer,將報表文件加載到頁面實現(xiàn)各種報表。這種把數(shù)據(jù)源、報表文件、和頁面顯示文件分開獨立實現(xiàn),不僅豐富了報表顯示樣式和提高了網(wǎng)絡(luò)報表生成效率,而且極大地提高了訪問數(shù)據(jù)的安全性。
(3)用戶口令存儲問題:不要將實際的口令存儲在數(shù)據(jù)庫表中,因為口令直接放在數(shù)據(jù)庫或文件中存在安全隱患,因此要存儲加密后的口令。使用時,例如當(dāng)用戶登錄時,對口令加密,然后與數(shù)據(jù)庫中存放的加密口令進(jìn)行比較。實現(xiàn)步驟如下:
首先,導(dǎo)入命名空間:

【基于ASP.NET的Web網(wǎng)絡(luò)應(yīng)用程序開發(fā)的安全策略實踐】相關(guān)文章：

淺談基于Pushlet推技術(shù)的網(wǎng)絡(luò)應(yīng)用程序開發(fā)的研究07-26

基于Web技術(shù)的網(wǎng)絡(luò)考試系統(tǒng)10-22

基于WEB的網(wǎng)絡(luò)考試系統(tǒng)ASP+SQL10-05

基于ASP.NET的DIY網(wǎng)站09-12

基于ASP技術(shù)開發(fā)Web數(shù)據(jù)庫檢索程序08-04

基于XML的智能應(yīng)用程序的研究04-29

基于Java Struts框架和工作流技術(shù)的Web應(yīng)用開發(fā)08-15

基于WEB的在線考試系統(tǒng)05-15

基于Web的多媒體CAI課件開發(fā)過程中若干問題的研究和實踐09-01

基于Web服務(wù)的集成研究06-21