使用更精简的代码保证 ASP.NET 应用程序的安全
Michele Leroux Bustamante
IDesign:.NET Design and Business Solutions
2003 年 10 月
适用于:
Microsoft® ASP.NET Whidbey
摘要:学习 ASP.NET Whidbey 及其新的配置工具、控件和组件如何支持用于验证用户和管理受保护资源的完整系统。
下载 ASPNETWhidbeySecuritySample.msi。(请注意,在示例文件中,程序员的注释使用的是英文,本文中将其译为中文是为了便于读者理解。)
目录
直观易用的功能
配置界面
拖放安全控件
按角色过滤内容
成员身份和角色提供程序
但是,这个程序是可扩展的吗?
小结
注意:相应的软件产品正式发行之前,本文档已经撰写完毕,所以我们不能保证本文档内涉及的细节与最终产品完全一致。文中信息描述的是本文档发布之时的产品,仅供在规划时参考之用。如有更改,恕不另行通知。
我编译了许多 Microsoft® ASP.NET 应用程序,例如客户端应用程序和原型、我自己不断增长的站点和帮助不会编程的家人和朋友所开发的站点,以及文章、演示文稿和培训课程的代码。我经常发现自己在编译每个应用程序时,总有某些重复的任务要做,这其中很大一部分是定义验证模型。保护应用程序资源几乎是设计任何应用程序时必不可少的一项工作。ASP.NET 1.x 让事情变得简单了些,它提供了一个颇为简单和安全的、基于表单的验证进程,但您仍要纠缠于角色管理和其他工作之中。如果每设计一个新登录表单可以挣 5 美分,那么我现在至少已经挣了 10 多美元,算一算,我设计了多少个表单。即将发行的新版本 ASP.NET 的开发代号是“Whidbey”(与即将发行的新版本 Microsoft® Visual Studio® .NET 的开发代号一致),它提供了许多新的配置工具、控件和组件,以支持用于验证用户和管理受保护资源的完整系统。这些新功能十分直观易用,即使您的祖母也能在一天内构建一个安全站点。
直观易用的功能
按照传统做法,为新 Web 站点构建一个验证模型通常包括以下步骤:
收集受保护资源和活动的要求,并定义适当的角色和权限。
设计关系数据库表,以存储用户、角色及相关权限。
设计登录页面。
编写代码,以验证用户并收集关联的角色和权限。
添加配置,以基于角色来保护 Web 资源。
编写代码,以基于角色和权限来控制页面内容。
即使只是构建几个可重复使用的组件来封装上述某些重复性任务,您仍会感到肩上的工作负担减轻了不少。ASP.NET Whidbey 的新组件大大减少了上述步骤中的五个步骤的工作量,至少将其减少为了原来工作量的一部分。我将使用新的基于 Web 的管理向导来自动创建一组表,以处理用户、角色和权限。在同一个管理界面中,我还会就登录、成员身份和角色管理对应用程序进行配置。我将在一秒钟(或者说仅仅是在 Web 表单中拖放一个登录控件的时间)之内设计出一个登录页面,而且我根本不用编写一行用于验证用户或关联角色的代码,因为这些会自动完成。根据用户角色和登录状态的不同,呈现的菜单和页面内容也将不同,但我同样无需为此编写任何代码。
是不是有梦想成真的感觉?让我们看看这是如何实现的。
配置界面
ASP.NET Whidbey 包括一个新的基于 Web 的配置工具,它运行于特定应用程序的上下文中,这样便可以通过交互的方式来修改应用程序自身的 web.config 文件。该工具带有许多向导,其中一个可以引导您完成设置安全选项的全部步骤。使用 Visual Studio“Whidbey”完成新 Web 站点的创建后,您可以通过两种方法启动该配置工具:从“Solution Explorer”(解决方案资源浏览器)中选择“ASP.NET Configuration”(ASP.NET 配置)图标或从“Website”(站点)菜单中选择“ASP.NET Configuration”(ASP.NET 配置)。
图 1:从“Solution Explorer”(解决方案资源浏览器)或主菜单启动基于 Web 的配置实用工具。
配置 Web 界面启动时会显示一个查询字符串,指示要配置的应用程序目标。在本文中,我创建了一个名为“MySecureNewsletter”的新应用程序,并启动了管理界面,如下所示:
图 2:在我的计算机上启动管理界面的 URL 是 http://localhost:10245/ASP.NETWebAdminFiles/default.aspx?applicationPhysicalPath=H:\WebSites\MySecureNewsletter\&applicationUrl=/MySecureNewsletter。
“Security”(安全)选项卡中的一个选项是运行“Security Setup Wizard”(安全设置向导)。对于一个新应用程序,应当首先运行该向导。向导界面的左侧面板显示了将要逐步执行的步骤列表,并指出您当前所在的步骤:
图 3:安全设置向导使用 ASP.NET Whidbey 的某些其他很酷的功能,例如用于导航的向导控件。
设置过程中的步骤非常简单,所以在此仅概述我为示例应用程序所选的选项。首先,向导询问我该站点是 Intranet 站点还是 Internet 站点。前者默认使用 Windows 验证,后者(也是我的选择)将把应用程序配置为使用表单验证。下一步,向导显示创建数据库以存储用户和角色的选项。如果选择此选项,向导将询问我是选择创建 Microsoft Access 数据库还是创建 Microsoft SQL Server™ 数据库,然后引导我完成几个附加的步骤。我没有选择这个选项,所以在应用程序的 \Data 目录下将创建一个默认的 Access 数据库。在 machine.config 文件中,<connectionString> 元素指定了 Access 数据库的默认位置:
<connectionStrings>
<add name="LocalSqlServer" connectionString="data
source=127.0.0.1;Integrated Security=SSPI" />
<add name="AccessFileName"
connectionString="~\DATA\ASPNetDB.mdb" />
</connectionStrings>
下一步,我启用了该应用程序的角色管理。此时,将创建带有大量表格的默认 Access 数据库,并且最终将由新的安全控件和成员身份 API 来使用这些表。此时,我可以选择创建角色和用户。创建每个角色时都需要使用简单的字符串值,如下所示:
图 4:界面左侧的向导面板显示我正在对应用程序的安全模型执行哪一步设置。
要创建用户,需要设想一下您可能希望为每个用户收集哪些字段,特别是用户名、密码、电子邮件、说明和可选密码问题及答案。如果已创建了任何角色,则这些角色显示为复选框选项的形式以供选择:
图 5:此处输入的电子邮件字段以后将用于与用户进行交互,例如在用户取回密码时。
通过以上几个简单的步骤,我们已在 \Data 目录下创建了一个新数据库(文件名为 AspNetDB.mdb),用于存储成员身份信息。刷新“Solution Explorer”(解决方案资源浏览器)以后,您还可以看到已创建了一个 web.config 文件,用于启用 <roleManager> 设置中的角色管理。这一步是必需的,因为 machine.config 中的默认设置是禁用角色管理。新的 web.config 文件如下所示:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.web>
<roleManager enabled="true">
<providers />
</roleManager>
</system.web>
</configuration>
在以上数个简短的步骤中,我创建了标准的成员身份和凭据管理数据库,角色和用户也创建完毕,并完成了角色管理必需的 Web 配置,现在我们就可以构建一个安全的应用程序了。
如果没有在第一次配置过程中完成角色和用户的创建,您可以随时返回到该配置工具输入或修改设置,但我现在将演示如何创建自己的管理页面。
拖放安全控件
到文章的本节为止,您依然不需要编写任何代码。我将演示如何使用 ASP.NET Whidbey 的新安全控件来生成一个基于角色的可行的验证系统。我将从我的示例电子通讯应用程序 MySecureNewsletter 开始。目前,除了我刚刚在向导中完成的步骤以外,尚未生成任何安全模型。顺便说一句,这个应用程序使用了 Whidbey 新的“母版页”功能。关于该功能的详细信息,请参阅 Master Pages in ASP.NET Whidbey(英文)。在“Solution Explorer”(解决方案资源浏览器)中,您将看到 /templates 目录下包含可重复使用的用户控件和母版页模板,而 /images 目录存储所有支持图形,根目录下则有一些应用程序页面。
图 6:示例应用程序中的所有 *.aspx 页面都将使用一个母版页作为布局模板。内容页面和 Web 表单页面一样,但前者指定了母板页模板,且所有的内容都放在内容控件中。
登录
添加名为 login.aspx 的新内容页面以后,我们可以开始享受些乐趣了。“Toolbox”(工具箱)带有“Security”(安全)选项卡,其中列出了 ASP.NET Whidbey 中与安全性相关的非常酷的新控件。
图 7:“ToolBox”(工具箱)已经针对 ASP.NET Whidbey 进行了重新组织,新的安全控件将集中到它们自己的选项卡上。
我将从刚刚拖放到新的 login.aspx 页面上的“Login”(登录)控件开始,一个个地浏览这些安全控件:
图 8:登录控件提供了编辑控件默认布局的交互式设计器界面。
您可以选择某一个“AutoFormat”(自动套用格式)选项来为控件外观选择一个已封装的格式:
图 9:目前有两个已封装格式可用,但如果应用程序使用了默认样式表,您还可以通过“Properties”(属性)窗口为控件的各个元素指定样式。
“Properties”(属性)窗口还提供了对控件各个元素的标记、值和验证错误消息的访问。您也可以自定义登录按钮的外观,并提供创建新成员的链接。现在,让我们看看使用可信任的样式表和控件默认选项会生成些什么。控件生成的源代码如下所示:
<asp:login id="Login1" runat="server">
</asp:login>
这样,我的登录页面就完成了。因为我已经配置了应用程序的用户和角色,所以我仅需修改 web.config 文件,把验证模式设置为“Forms”(表单),因为默认方式是“Windows”验证。同时,为了测试登录进程,我还将拒绝匿名用户:
<authentication mode="Forms"/>
<authorization>
<deny users="?" />
</authorization>
注意:我早先曾提及安全设置向导将应用程序配置为使用表单验证,该向导是通过生成默认数据库以存储凭据来完成该配置的。该向导并不是(在 Whidbey Alpha 版本中)通过修改应用程序的 web.config 文件中的 <authentication> 设置来指定如上所示的表单验证模式。
现在,系统将引导所有的匿名用户前往登录页面(幸好使用了母版页和样式表,在花了一秒钟将登录控件拖动到表单后,这个页面看起来还过得去):
图 10:在没有修改任何属性的情况下,这是在页面模板中显示的登录控件的默认外观。
谁已经登录了?
如果输入了有效的用户名和密码,“Log In”(登录)按钮将自动验证用户,并将其重定向到最初请求的页面。当然,登录以后,习惯上要为用户显示个性化的欢迎页面,并提供注销的途径。我将把这两个功能添加到显示在每个页面中的 menus.ascx 用户控件。“LoginName”(登录名)控件显示了已验证的用户名,而“LoginStatus”(登录状态)控件则提供了一个方便的超级链接,它会根据当前验证状态,在登录和注销操作之间切换。以下是将这两个新控件添加到 menus.ascx 文件的适当位置后的 HTML 源代码:
当前您已登录为: <asp:loginname id="LoginName1"
runat="server"></asp:loginname>
<asp:loginstatus id="LoginStatus1" runat="server">
</asp:loginstatus>
噢,这太粗略了。现在有了登录页面,让我们看看用户登录以后显示的个性化欢迎页面,同时我们还为用户提供了注销的途径,所有这些都不需要编写代码。
图 11:在 Login(登录)/Logout(注销)之间切换
登录名控件只执行一个任务:显示已验证用户的名称。默认情况下,登录状态控件自动在 Login(登录)/Logout(注销)之间切换,但可以使用模板进一步自定义。注销的实际进程也由该控件进行封装。
关于此个性化欢迎页面的唯一问题是:在登录之前,页面会显示空白用户名,我们可能需要编写一些代码来控制这一部分。不过,也许我们同样可以不用编写代码就能做到。
控制对内容的访问
如果使用以前的 ASP.NET 版本来显示当前已验证的用户,我们需要编写代码来访问当前上下文的用户标识。要仅在用户验证后显示该信息,还需要编写更多的代码来检查用户的状态。“LoginView”(登录视图)控件可能是最有意思的新安全控件之一,它让我们能够基于验证状态和角色来控制页面内容。为了检验这一点,我向 menu.ascx 文件添加了一个登录视图控件。通过与设计环境进行交互,您可以编辑希望匿名用户(尚未登录)或已验证用户所看到的信息。
图 12:“Common LoginView Tasks”(通用登录视图任务)使您可以在视图之间切换,或通过单击“Edit Templates”(编辑模板)超级链接开始编辑模板。
您始终可以通过“Source”(源文件)视图直接修改 HTML。以下代码显示了向 menus.ascx 文件的个性化欢迎页面中添加登录视图控件时所做的修改:
<asp:loginview id="LoginView1" runat="server">
<anonymoustemplate>
您目前尚未登录。
</anonymoustemplate>
<loggedintemplate>
当前您已登录为:<asp:loginname id="LoginName1"
runat="server">
</asp:loginname>
</loggedintemplate>
</asp:loginview>
登录视图控件在用户尚未通过验证时显示 <anonymoustemplate> 节的内容,用户通过验证后显示 <loggedintemplate> 节的内容。所以,没有编写任何代码,我们已利用安全控件为用户提供了登录页面、注销功能、个性化欢迎页面和基于验证状态的自定义页面内容。
什么?忘记了密码?
您肯定会觉得难以置信,自动管理密码就是如此简单。“PasswordRecovery”(密码取回)控件提供了功能完善的密码取回系统,包括基于密码问题查找密码以及自动重设密码,并通过电子邮件将密码发送给用户。我在应用程序根下创建了密码取回页面,在将密码取回控件拖放到页面后,我看到了以下内容:
图 13:“Common PasswordRecovery Tasks”(通用密码取回任务)使您可以自定义该过程中的每一步骤的外观。
密码管理设计的大量活动都是可以配置的。例如,您可以要求用户创建密码问题和答案,并将其作为密码安全模型的一部分。PasswordRecovery 控件包括这样一个界面,要求用户回答他们在创建帐号时提供的密码问题。如下所示,您可以编辑密码取回的每一部分的设置,包括请求用户名、询问密码问题,以及完成该过程后显示对用户的响应。
图 14:密码问题和答案的形式可由成员身份提供程序(本文稍后将介绍)进行配置。
此控件自动重设密码,并将新密码发送到用户的电子邮件帐号。生成的电子邮件的属性可通过控件的公共属性进行配置。在示例程序中,我自定义了电子邮件的主题标题和发件人的地址。所生成的 HTML 如下所示:
<asp:passwordrecovery id="Passwordrecovery1" runat="server">
<maildefinition bodyformat="Html" subject="Password Recovery for
MySecureNewsletter" from="mailto:mailadmin@dotnetdashboard.com">
</maildefinition>
</asp:passwordrecovery>
如果正确地配置了用于发送电子邮件的 SMTP 服务器,我将接收到包含新密码的电子邮件:
图 15:通过在“Properties”(属性)窗口中设置“BodyFilename”和“BodyFormat”属性,可以提供电子邮件的 HTML 模板。
在示例中,我使用自己的 SMTP 服务器测试了该功能,而您将在 web.config 文件中看到 SMTP 设置的这个示例:
<smtpMail
serverName="smtp.mysmtpserver.com"
serverPort="25">
</smtpMail>
这是一个奇妙的功能,为处理密码管理提供了快速的安全方案。但对于大型站点,您很可能希望进一步了解组件的体系结构。例如,您希望确保生成电子邮件的组件具有可伸缩性,您还可能想编写一些代码来控制如何通过电子邮件向成员发送密码:也许是提供对显示解密密码的已过期 Web 页面的链接。
按角色过滤内容
大多数应用程序依赖角色来控制对资源的访问、信息显示方式和可允许的活动。此前,我创建过许多用户,并使用安全管理工具来为其指定角色。如果是在 ASP.NET 的以前版本中使用这些角色,我就得编写代码,以从已验证的用户的凭据存储中手动检索角色。LoginView 控件通过配置的成员身份提供程序(或者是成员身份 API)与这些角色进行交互,并支持为任何有效角色提供内容模板。
假定我将把一组仅能由管理员访问的管理页面添加到应用程序。如果向标题中一个“Admin”(管理)菜单项,我很可能希望其仅对管理员显示。为了实现这一点,我将把另一个登录视图控件添加到菜单界面。LoginView 控件的某个属性(可通过“Properties”[属性] 窗口访问)支持通过对话框界面将角色列表添加到“RoleGroups”(角色组)集合:
图 16:“RoleGroup Collection Editor”(角色组集合编辑器)要求手动输入角色。您也可以为角色编组,这样多个组可以共享同样的模板界面。
在“Design”(设计)视图中,LoginView 控件现在将角色列表显示为模板选项:
图 17:“HTML”视图将更新,显示您为每个角色所设计的所有模板。
从以下 HTML 源文件中可以看出,“Admin”(管理)和“Member”(成员)角色使用了新的内容模板。在验证以前仍将使用 <anonymoustemplate>,但验证以后,将使用与某个用户角色匹配的第一个模板。如果未找到匹配项,默认使用 <loggedintemplate> 设置。
<asp:loginview id="lvMenu" runat="server">
<anonymoustemplate>
<asp:loginstatus id="anonLoginStatus" runat="server">
</asp:loginstatus>
</anonymoustemplate>
<rolegroups>
<asp:rolegroup roles="Admin">
<contenttemplate>
<tr>
<td class="OtherTabs">
<asp:hyperlink id="adminHome" runat="server"
navigateurl="~/default.aspx">Home</asp:hyperlink>
关键词:运用更精简的代码保证 ASP.NET 应用程序的安全