ASP.NET セキュリティのしくみ
Web サイトのセキュリティ確保は、Web 開発者にとって重要で複雑な問題です。サイトを保護するには慎重な計画が必要で、Web サイトの管理者およびプログラマは、サイトを保護するために設定できる機能を明確に把握しておく必要があります。
Web アプリケーションのセキュリティを確保できるようにするために、ASP.NET を Microsoft .NET Framework および IIS (Microsoft Internet Information Services) と組み合わせて使用します。ASP.NET アプリケーションを保護できるようにするには、次の表で説明する 2 つの基本機能を実行する必要があります。
| セキュリティ機能 | 説明 |
|---|---|
ユーザーが本人であることの検証を支援します。アプリケーションはユーザーから資格情報 (名前やパスワードなど、各種の形式の識別情報) を取得し、それらの資格情報を証明機関に照会して検証します。資格情報が有効な場合は、その資格情報を送信したエンティティは認証済み ID と見なされます。 |
|
認証済み ID に対して特定のアクセス許可を付与または拒否することでアクセス権を制限します。 |
IIS では、ユーザーのホスト名または IP アドレスに基づいてアクセスを許可または拒否することもできます。これ以上のアクセス承認は、NTFS ファイル アクセス許可の URL 承認で実行されます。
各種のセキュリティ サブシステムがどのように関連しているかを把握しておくことは有用です。ASP.NET は Microsoft .NET Framework に基づいて構築されているため、ASP.NET アプリケーションの開発者も、コード アクセス セキュリティやロール ベースのユーザー アクセス セキュリティなどの .NET Framework のあらゆる組み込みセキュリティ機能にアクセスできます。ASP.NET のセキュリティ機能の詳細については、「ASP.NET コード アクセス セキュリティ」を参照してください。
このセクションの内容
関連するセクション
- .NET Framework におけるセキュリティ
.NET Framework のセキュリティ機能に関する一般的な情報について説明します。
- データ アクセスのセキュリティ保護
データベースなどのデータ ソースへの接続をセキュリティで保護できるようにする方法について説明します。
- コード アクセス セキュリティ
.NET Framework のコード アクセス セキュリティについて説明します。
- ホストされた環境での ASP.NET アプリケーションのセキュリティ
ASP.NET および ASP.NET 環境を構成して、ASP.NET アプリケーション Web サーバーのセキュリティを向上させる方法について説明します。