Exportar (0) Imprimir
Expandir Tudo
Este artigo foi traduzido por máquina. Coloque o ponteiro do mouse sobre as frases do artigo para ver o texto original. Mais informações.
Tradução
Original

Limitando acesso a sites do ASP.NET

Limitar o acesso a um aplicativo geralmente é dividida em dois tópicos: autenticação, que é como um aplicativo identifica quem você é, e autorização, que é como um aplicativo identifica o que você é permitido fazer. Este tópico fornece uma visão geral sobre autenticação e autorização em ASP.NETaplicativosWeb . For more detailed information, see Segurança de aplicativos da Web ASP.NET.

Aplicações ASP.NET oferecem várias opções diferentes para autenticação de usuários. Para aplicativos somente leitura que podem ser vistos por qualquer pessoa, utilizar a autenticação anônima. Para um acesso mais restrito a um aplicativo, você precisa usar alguma forma de autenticação para identificar os usuários. Há duas identidades que você deve considerar ao autenticar usuários para seu ASP.NET aplicativo: o aplicativo identidade que é usado para acessar os recursos do Windows e o ASP.NET usuário identidade é usada para identificar um usuário ASP.NET.

O aplicativo pode ser executado sem uma identidade de usuário ASP.NET, mas você sempre terá uma identidade de aplicativo do Windows. Para ajudar a proteger seu aplicativo, você deve restringir a identidade do Windows para a aplicação dos recursos necessários, como arquivos e acesso a banco de dados.

ASP.NET Application Identity

Quando uma página ASP.NET é executada, o servidor deve ter um contexto de segurança, ou identidade, para o processo que está executando o código ASP.NET. Essa identidade é usada na captação de recursos usando segurança integrada do Windows, como arquivos protegidos usando o sistema de arquivos NTFS ou recursos de rede.

Por exemplo, os arquivos que contêm o código do aplicativo armazenado no subdiretório App_Code de um aplicativo só precisa ser lido pela identidade do aplicativo ASP.NET. Therefore, the security settings for the files in the App_Code directory can be restricted so that the ASP.NET application identity has Read access only. Another common use of the Windows identity of the ASP.NET application is as the identity of a connection to a SQL Server using Integrated Security. For more information, see ASP.NET Required Access Control Lists (ACLs) and Como: acessar o SQL Server usando a segurança integrada do Windows.

A identidade de uma aplicação ASP.NET é determinada por vários fatores. Por padrão, páginas ASP.NET são executadas com a identidade do Windows que processa páginas ASP.NET no servidor Web. On a computer running Windows Server 2003, that identity is the identity of the application pool that the ASP.NET application is a part of (by default, the NETWORK SERVICE account). Em computadores com o Windows 2000 e Windows XP Professional, a identidade é a conta ASPNET local que é criada quando o . NET Framework está instalado. Esta identidade pode ser configurado para uma identidade diferente, se desejado. Para obter mais informações, consulte Configurando Identidade de Processo do ASP.NET.

You can modify the Windows identity that your ASP.NET page runs as by using the identity element of the system.web configuration section. O identity elemento pode ser usado para instruir o ASP.NET para representar um Windows usuário ID. Representando uma identidade de Windows significa que o ASP.NET páginas para o aplicativo será executado como a identidadedo Windows. Você pode especificar um nome de usuário e senha para representar. Como alternativa, você pode ativar a representação e ASP.NET será executado em uma destas duas maneiras: uma anônima especificada pelo IIS identidade ou navegador autenticado identidade conforme determinado pelo IIS (por exemplo, a autenticaçãoanônima, autenticaçãodo Windows integrada (NTLM) e assim por diante). Para obter mais informações, consulte ASP.NET Impersonation.

Se você está representando uma identidade do Windows, você pode executar o código que reverte para a identidade original do processo, em vez do ID do usuário representado. For this reason, in environments where you need to keep one application separate from another, you should isolate the applications in separate application pools on computers running Windows Server 2003. Cada pool de aplicativos deve ser configurado com uma identidade única do Windows.

You can easily determine the Windows identity of the operating system thread that your ASP.NET page is running by using the Name property of the WindowsIdentity returned by the GetCurrent method as shown in the following code example.

<%=System.Security.Principal.WindowsIdentity.GetCurrent().Name%>

ASP.NET User

A identidade do usuário ASP.NET é usada para acessar recursos específicos do ASP.NET. For example, you can identify a portion of your application that is only available to certain users, while other portions of your application are available to all users.

The ASP.NET user is determined by the authentication element of the system.web section of the Web.config file for your application. Você tem várias opções para autenticar uma identidade do ASP.NET na sua aplicação. Você pode usar o nome de usuário do Windows que é determinado pelo IIS, autenticação ASP.NET Forms, autenticação Passport, ou um esquema de autenticação personalizado. The ASP.NET identity can be accessed using the User property of the current HttpContext. For details, see Autenticação do ASP.NET.

If you are using ASP.NET Forms authentication or a custom authentication solution to provide the ASP.NET identity, you can use ASP.NET membership to provide a user data store and user management functionality. For more information, see Gerenciando usuários usando Associação.

Authorization involves restricting user access to only those resources that are required. This includes restricting access to only the required files, databases, and portions of your application. In addition, this includes using Code Access Security to restrict access to code.

You can restrict file access by using NTFS access control lists and the FileAuthorizationModule. For more information, see Autorização ASP.NET and ASP.NET Required Access Control Lists (ACLs).

You can restrict access to portions of your application by using the UrlAuthorizationModule and ASP.NET Role Management. For more information, see Autorização ASP.NET and Gerenciando Autorização Usando Funções.

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft