تشخيص هويت و تعيين اعتبار در asp.net

[Mehdi]

از موقعی که يک درخواست به وب سرور برای يک فايل که توسط ASP.NET سرويس داده می شود دريافت می گردد و تا موقعی که پاسخ درخواست به کاربر فرستاده می شود يک سری مراحل تشخيص هويت و تعيين اعتبار توسط IIS و ASP.NET صورت می گيرد. ASP.NET بطور همزمان به همراه IIS و NET Framework. و يک سرويس امنيتی زيرلايه ای که توسط سيستم عامل اعمال می شود، برای ارائه يک سری از انواع تشخيص هويت (Authentication) و تعيين اعتبار (Authorization) کار می کند.

توصيف مکانيسم تشخيص هويت و تعيين اعتبار که توسط IIS و ASP.NET موقع رسيدن يک درخواست صورت می گيرد عبارت است از:

۱- يک تقاضای HTTP از طريق شبکه می رسد، SSL می تواند در اين بين برای حفظ امنيت انتقال اطلاعات از کاربران به سرور بکار رود.

۲- IIS بسته به نوع تنظيمات يک از روشهای تشخيص هويت Integrated (NTLM يا Kerberos)، Basic ،Digest يا Certificate استفاده می کند. چنانچه سايت شما نيازی به تشخيص هويت ندارد، می توانيد IIS را بصورت anonymous که در اين حالت (همه به صورت پيش فرض هويت شان تاييد می باشد) تنظيم کنيد. پس از آن IIS يک بسته اطلاعاتی حاوی هويت کاربر که توسط يکی از روش های بالا تاييد هويت شده است يا چنانکه بصورت anonymous تنظيم شده باشد يک بسته اطلاعاتی حاوی تشخيص هويت anonymous (که به صورت پيش فرض "User-Machine"می باشد) می سازد.

۳- IIS کاربر را برای دسترسی به منابع مورد درخواست تعيين اعتبار می کند. که در اين مرحله ممکن است ازحقوق امنيتی NTFS که در ACL وصل شده به منبع مورد درخواست برای تعيين اعتبار استفاده شود. و همچنين IIS می تواند برای پذيرفتن درخواست ها از کامپيوترهايی با IP های خاص تنظيم شود.

۴- IIS پس از اين اطلاعاتی که تاييد شده (که ممکن است anonymous باشد) را به ASP.NET می فرستد.

۵- ASP.NET کاربر را تشخيص هويت می نمايد. دراين مرحله اگر ASP.NET برای تشخيص هويت Windows تنظيم شده باشد هيچ گونه تشخيص هويت ديگر صورت نمی گيرد و اگر ASP.NET برای روش تشخيص هويت Forms تنظيم شده باشد مدارک ارائه شده توسط کاربر که از طريق فرم های HTML ارائه می شود با داده های ذخيره شده که بطور معمول در پايگاه داده SQL Server يا دايرکتوری سرويس Active Directory می باشد مقايسه می شود. و اگر ASP.NET برای روش تشخيص هويت Passport تنظيم شده باشد کاربر به سايت Passport مربوطه فرستاده می شود و عمل تشخيص هويت در آنجا صورت می گيرد.

۶- ASP.NET اعتبار کاربر را برای دستيابی به منابع يا پردازش های مورد درخواست بررسی می کند. UrlAuthorization Module (که از ماژول های HTTP ارائه شده توسط سيستم می باشد) از رُل های تعيين اعتبار که در فايل web.config (بويژه تگ<authorization>) تنظيم شده است. برای تاييد اعتبار کاربر نسبت به دسترسی به فايلها يا پوشه های مورد درخواست استفاده می کند. FileAuthorization Module (يکی ديگر از ماژول های HTTP) کاربر را برای دسترسی به فايل مورد نظر چک می کند که برای اين کار از ACL متصل به منبع مورد درخواست استفاده می شود. و همچنين رُل های NET. می تواند برای تعيين اعتبار کاربراستفاده شود که می توان آن را در فايل web.config يا بصورت برنامه ای تنظيم کرد.

۷- کد موجود در برنامه شما توسط يک هويت ويژه به منابع محلی يا دور دسترسی پيدا می کند که به صورت پيش فرض ASP.NET هيچگونه تقليد هويتی نمی کند و در نتيجه از حساب تنظيم شده پيش فرض ASP.NET برای تاييد استفاده می شود. و انتخاب ديگر استفاده از تائيديه کاربر اصلی است چنانچه تقليد هويت فعال شده باشد يا يک سرويس تائيديه تنظيم شده ديگر.

منبع: Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication

موضوعات مشابه:

• Vpn هويت كاربر را پنهان نمي‌كند.
• چگونگی تشخيص هندوانه، طالبي و خربزه رسيده
• فقیران معتبر/ ثروتمندانی از خانواده های فقیر!
• اعترافات تکان دهنده !!!
• اعتراض

[Codex]

سلام
قبل از هر چیز ورود مجدد خودم رو به فروم تبریک میگم بعد از 2ماه سخت آموزشی (سربازی) در خدمت شما هستیم

اینایی که آقا مهدی گل گفت یه ذره سطح بالاست و به نظر من گفتن خیلی از این چیزا اصلاً لازم نیست مگر اینکه بخوایم بصورت detail این موارد رو بررسی کنیم

کل مطالب آقا مهدی در مورد تشخیص هویت چه در asp و چه در php و ... رو میشه در 3 بخش کوچک خلاصه کرد :

ارسال درخواست http -> پاسخ سرور -> مشاهده پاسخ

ارسال درخواست http: به زبان ساده ، همون یوزر پسوردی که تو فروم وارم میکنیم و دکمه ورود رو میزنیم
پاسخ سرور : 2حالت وجود داره ، یا یوزر پس درسته یا درست نیست ! اگه درست بود وارد انجمن شدیم واگرنه یه پیغام خطا از طرف سرور صادر میشه
مشاهده پاسخ : اون پیغام خطا یا ورود ما به سیستم میشه مشاهده پاسخ

موفق باشید