Xác thực quyền và cấp quyền người dùng trong ASP.NET
Trong web.config thẻ authentication có 3 mode chúng ta có thể sử dụng: Forms, Passport và Windows.
Forms: dùng để xác thực.
Passport: dung Microsoft Passport
Windows: dùng bảo mật của Windows. User name phải có trong windows server.
Nếu chúng ta tự viết cách bảo mật riêng thì dùng “NONE”.
Chú ý: Với một số phương thức xác thực sau, bạn phải dùng ổ đĩa có kiểu định dạng file hệ thống file là NTFS, vì định dạng này duy trì mức bảo mật cao nhất.
IIS hỗ trợ các phương thức Xác thực sau:
Xác thực ẩn danh
IIS tạo tài khoản IUSR_ComputerName (trong đó ComputerName là tên của server đang chạy IIS) để Xác thực người dùng ẩn danh khi họ yêu cầu nội dung Web. Tài khoản này cung cấp cho người dùng quyền đăng nhập cục bộ. Bạn có thể thiết lập lại quyền truy cập người dùng ẩn danh để sử dụng bất kỳ tài khoản Windows hợp lệ nào.
Chú ý: Bạn có thể thiết lập các tài khoản ẩn danh khác cho nhiều website, thư mục ảo hay thư mục vật lý và cho cả các file.
Nếu máy tính sử dụng Windows Server 2003 là máy chủ độc lập, tài khoản IUSR_ComputerName nằm trên server cục bộ. Nếu server là một domain controller, tài khoản IUSR_ComputerName được định nghĩa cho domain.
Xác thực cơ bản (Basic Authentication)
Sử dụng phương thức Xác thực cơ bản để giới hạn truy cập file trên Web server định dạng NTFS. Với kiểu Xác thực cơ bản, người dùng phải nhập thông tin Xác thực và quyền truy cập dựa trên ID người dùng (user ID). Cả user ID và password đều được gửi qua mạng theo dạng văn bản thuần túy.
Để dùng Xác thực cơ bản, người quản trị phải cấp cho từng user quyền đăng nhập cục bộ. Và để quản trị dễ dàng hơn, quản trị viên nên đưa người dùng vào từng nhóm theo quyền truy cập các file cần thiết.
Chú ý: Thông thường thông tin Xác thực người dùng được mã hóa bằng chương trình Base64. Nhưng khi truyền qua mạng, thông tin này lại không được mã hóa. Vì thế Xác thực cơ bản không được xem là cơ chế Xác thực an toàn.
Xác thực tích hợp sẵn trên Windows (Integrated Windows Authentication)
Xác thực tích hợp trên Windows an toàn hơn Xác thực cơ bản và hoạt động tốt trong môi trường Intranet, nơi người dùng có các tài khoản Windows domain. Trong Xác thực tích hợp sẵn trên Windows, trình duyệt sẽ cố gắng sử dụng thông tin Xác thực của người dùng hiện thời đăng nhập trên domain. Nếu cố gắng này thất bại, người dùng mới được nhắc nhập username, password. Khi sử dụng Xác thực tích hợp trên Windows, mật khẩu của người dùng không phải truyền tới server. Nếu người dùng đăng nhập vào máy tính cục bộ như một domain user, user không bị Xác thực lại khi truy cập máy tính nối mạng trong domain đó. Chú ý là bạn phải dùng trình duyệt Web từ Microsoft Internet Explorer 2.0 trở lên nếu muốn có cơ chế Xác thực tích hợp sẵn.
Chú ý: Bạn không thể dùng Xác thực tích hợp sẵn trên Windows qua một proxy server.
Xác thực phân loại (Digest Authentioncation for Windows Domain Servers )
Xác thực phân loại khắc phục được nhiều nhược điểm của Xác thực cơ bản. Mật khẩu sẽ không bị gửi đi theo dạng văn bản thuần túy. Hơn nữa bạn có thể dùng Xác thực phân loại qua một proxy server. Xác thực phân loại sử dụng cơ chế challenge/response (thách_thức/đáp¬_ứng, tương tự như request/respone ở Xác thực tích hợp sẵn trên Windows), trong đó mật khẩu được mã hóa khi gửi qua mạng.
Để dùng Xác thực phân loại, chú ý các yêu cầu tiên quyết sau:
• User và IIS server phải là thành viên, hoặc được ủy thác trên cùng một domain.
• User phải có tài khoản người dùng Windows hợp lệ lưu trữ trong Active Directory trên domain controller.
• Domain phải dùng domain controller dựa trên Microsoft Windows 200 hoặc mới hơn.
• Bạn phải cài file IISSuba.dll trên domain controller. File này được sao chép tự động trong quá trình cài đặt Windows 2000 hoặc Windows Server 2003.
• Bạn phải cấu hình tất cả tài khoản người dùng sử dụng tùy chọn Store password using reversible encryption (Lưu trữ mật khẩu dùng mã hóa đảo ngược). Muốn sử dụng tùy chọn tài khoản này, mật khẩu phải được thiết lập lại hoặc được nhập lại.
Chú ý: Muốn dùng mã hóa phân loại bạn phải sử dụng phiên bản Microsoft Internet Explorer từ 5.0 trở lên làm trình duyệt Web.
Xác thực .NET Passport (.NET Passport Authentication)
Microsoft .NET Passport là dịch vụ Xác thực người dùng cho phép bảo mật đăng nhập đơn, cung cấp cho người dùng quyền truy cập bảo mật nâng cao các website và dịch vụ hỗ trợ .NET Passport. Website hỗ trợ .NET Passport dựa trên server trung tâm .NET Passport để Xác thực tư cách người dùng. Tuy nhiên server trung tâm không cho phép hay từ chối truy cập của một người dùng cụ thể tới website hỗ trợ .NET Passport riêng lẻ. Mỗi website sẽ có trách nhiệm điều khiển quyền hạn của người dùng. Khi bạn dùng tùy chọn này, yêu cầu tới IIS phải chứa thông tin Xác thực .NET Passport hợp lệ trên hoặc là chuỗi truy vấn, hoặc là trong Xác thực. Nếu IIS không tìm ra được thông tin Xác thực .NET Passport, yêu cầu sẽ được gửi lại tới trang đăng nhập .NET Passport.
Ánh xạ chứng chỉ client (Client Certificate Mapping)
Ánh xạ chứng chỉ client là phương thức trong đó một bản đối chiếu được tạo ra giữa chứng chỉ (Certificate) và tải khoản người dùng (User account). Trong mô hình này, người dùng đưa ra một chứng chỉ và hệ thống nhìn vào bản đối chiếu để đối chiếu xem tài khoản người dùng nào sẽ được đăng nhập. Bạn có thể ánh xạ chứng chỉ với tài khoản người dùng Windows bằng một trong hai cách:
• Sử dụng Active Directory
• Hoặc sử dụng các quy tắc được định nghĩa trong IIS.
Để biết thêm thông tin về cách ánh xạ chứng chỉ client với tài khoản người dùng, bạn có thể tìm phần “Client Certificate Mapping” trên tài liệu hướng dẫn của IIS. Nếu đã cài IIS, bạn có thể truy cập các file Help hoặc sử dụng các phương thức sau:
• Kích phải chuột lên một nút nào đó trong Internet Service Manager, sau đó chọn Help.
• Khởi động Windows Explorer, xác định vị trí thư mục: tên_ổ_cứng:\Windows\Help, sau đó mở file Lismmc.chm.
Bạn có thể cấu hình cho từng phương thức Xác thực điều khiển truy cập tới các đối tượng sau trên IIS server:
• Tất cả nội dung Web nằm trên IIS Server.
• Các website riêng nằm trên IIS Server.
• Các thư mục ảo hoặc thư mục vật lý riêng nằm trên website.
• Các trang hoặc file riêng trên một website.» Tin mới nhất:
» Các tin khác: