国内有哪些同步盘?好用的同步网盘有哪些?
544
2022-06-05
构建安全的企业内部WEB程序 (转)[@more@]
构建的企业内部:namespace prefix = o ns = "urn:schemas--com::office" />
为了保护企业内部的敏感信息、方便管理、确保用户只访问他们应该访问的地方。我一直在寻找最便捷的方法……
查询了一些资料,下述是我个人的一些理解。我们集合IIS和,通过验证(authentication)和授权(authorization)来实现企业WEB程序的安全。客户端对page.的请求是这样发出的:
这里涉及到两个重要的概念,它们定义如下:
验证(Authentication):标识请求页面的用户。( The process of ntifying the user who is requesting the page).
授权(Authorization):判定用户访问资源的。(System detenes which res he or she has access to.)
第一步,我们需要确定身份验证的类型。(条件1)在企业内部网中,我们已经有了包含所有用户帐号的-活动目录,同时每一个登陆内部网的客户端都使用不同的用户帐号。现存的身份验证有:身份验证、Forms身份验证、Microsoft Passport 身份验证。(条件2)其中Windows身份验证是基于现存的Windows 安全架构,它通过角色(Roles)控制来实现web程序的安全性。(结论)根据上述条件,我们采用基于Windows(Windows-based)的身份验证,我们需在Web.config中这样描述:
(注意:XML文件是区分大小写的)
为了实现Windows身份验证,IIS提供了三种类型:基本验证(Basic)、域简要验证(Digest)、集成Windows验证(Integrated Windows Security)。
(条件1)用户能够登陆到内部网,他就通过了活动目录对他的验证,并拥有一张证书(credential)。当用户请求安全页面时,就会把证书传送给IIS。(条件2)集成Windows验证就是把IIS要求的身份验证预先交由活动目录来完成。(结论)这就是说:采用集成Windows验证方式,用户一登陆内部网就预先通过了IIS对他的验证。所以,我们采用集成Windows验证。
第二步,对要访问的资源授权。对资源进行授权的方式有两种:文件授权(file authorization)和URL授权(URL authorization)。
文件授权基于的ACL(Access Control List),它的优点在于通过ACL控制文件和文件夹是非常容易的;它的缺点在于,需要花费时间来管理不同文件/文件夹的ACLs,而且程序迁移时,ACL并不随着文件夹copy and past而迁移。
URL授权是在web.config中对不同的URL或文件夹进行授权。它的优点在于程序迁移方便;缺点是需要在web.config中书写代码。
推荐我们采用文件授权的方式,但基于可迁移性考虑,我还是采用了URL授权方式。假设marketing.aspx是只有管理员和营销部(成员都属于marketing用户组)才能访问的页面,fold文件夹下面包含了只有管理员和人事部(假设成员都属于human用户组)才能访问的页面。我们在web.config中这样设置:
发表评论
暂时没有评论,来抢沙发吧~