So funktioniert die ASP.NET-Sicherheit

Aktualisiert: November 2007

Das Absichern von Websites ist für Webentwickler ein entscheidendes und vielschichtiges Problem. Der Schutz einer Site erfordert sorgfältige Planung, und Website-Administratoren und -Entwickler müssen die Optionen zum Absichern der Site genau kennen.

ASP.NET wird zusammen mit Microsoft .NET Framework und Microsoft IIS (Internet Information Services – Internetinformationsdienste) verwendet, um die Sicherheit von Webanwendungen zu gewährleisten. Zur Absicherung Ihrer ASP.NET-Anwendung sollten die in der folgenden Tabelle beschriebenen beiden grundlegenden Schritte ausgeführt werden.

Sicherheitsfunktion	Beschreibung
Authentifizierung	Stellt sicher, dass der Benutzer derjenige ist, der er zu sein vorgibt. Die Anwendung erhält von einem Benutzer Anmeldeinformationen (verschiedene Arten der Identifizierung, wie Name und Kennwort) und überprüft die Validierung dieser Informationen über eine Authentifizierungsstelle. Wenn die Anmeldeinformationen gültig sind, wird die Entität, die die Anmeldeinformationen gesendet hat, als authentifizierte Identität betrachtet.
Autorisierung	Schränkt Zugriffsrechte für eine authentifizierte Identität durch Gewähren oder Verweigern bestimmter Berechtigungen ein.

IIS kann auch auf der Grundlage des Hostnamens oder der IP-Adresse eines Benutzers Zugriff gewähren oder verweigern. Jede weitere Zugriffsautorisierung erfolgt durch die URL-Autorisierung der NTFS-Dateizugriffsberechtigung.

Es ist hilfreich zu wissen, wie die verschiedenen Sicherheitssubsysteme interagieren. Da ASP.NET auf Microsoft .NET Framework aufbaut, hat der ASP.NET-Anwendungsentwickler Zugang zu allen in .NET Framework integrierten Sicherheitsfeatures wie Codezugriffssicherheit und rollenbasierte Benutzerzugriffssicherheit. Ausführliche Informationen über die Sicherheitsfunktionen von ASP.NET finden Sie unter ASP.NET-Codezugriffssicherheit.

In diesem Abschnitt

• ASP.NET-Sicherheitsarchitektur

• Der Sicherheitsdatenfluss in ASP.NET

• Authentifizierung in ASP.NET

• ASP.NET-Autorisierung

• Identitätswechsel in ASP.NET

Verwandte Abschnitte

• Sicherheit in .NET Framework
  Enthält allgemeine Informationen zu Sicherheitsfeatures von .NET Framework.

• Sichern des Datenzugriffs
  Stellt Informationen zum Sichern von Verbindungen mit Datenquellen wie Datenbanken bereit.

• Codezugriffssicherheit
  Enthält Informationen zur Codezugriffssicherheit in .NET Framework.

• ASP.NET-Anwendungssicherheit in Hostumgebungen
  Enthält Informationen darüber, wie die Sicherheit des Webservers der ASP.NET-Anwendung durch das Konfigurieren von ASP.NET und der ASP.NET-Umgebung verbessert werden kann.