ASP.NET 安全性的工作原理

更新：2007 年 11 月

对于 Web 开发人员来说，保证网站的安全是一个关键而又复杂的问题。保护某个站点需要进行仔细地规划，网站管理员和程序员必须清楚地了解有关保证他们站点安全的选项。

ASP.NET 与 Microsoft .NET Framework 及 Microsoft Internet 信息服务 (IIS) 协同工作以提供 Web 应用程序安全性。若要帮助保护 ASP.NET 应用程序，应该执行下表中描述的两个基本功能。

安全功能	说明
身份验证	帮助验证用户不是假冒的。应用程序获取用户的凭据（各种形式的标识，如用户名和密码）并通过某些授权机构验证那些凭据。如果这些凭据有效，则将提交这些凭据的实体视为通过身份验证。
授权	通过对已验证身份授予或拒绝特定权限来限制访问权限。

IIS 也可以基于用户的主机名或 IP 地址来允许或拒绝访问。任何进一步的访问授权均由 NTFS 文件访问权限的 URL 授权来执行。

了解各种安全子系统如何交互是很有帮助的。由于 ASP.NET 是基于 Microsoft .NET Framework 建立的，所以 ASP.NET 应用程序开发人员也可以访问 .NET Framework 的所有内置安全功能，如代码访问安全性和基于角色的用户访问安全性。有关 ASP.NET 安全功能的详细信息，请参见 ASP.NET 代码访问安全性。

本节内容

• ASP.NET 安全结构

• ASP.NET 安全数据流

• ASP.NET 身份验证

• ASP.NET 授权

• ASP.NET 模拟

相关章节

• .NET Framework 中的安全性
  提供有关 .NET Framework 安全功能的常规信息。

• 保证数据访问的安全
  提供有关用于保护数据源（如数据库）连接的方法的信息。

• 代码访问安全性
  提供有关 .NET Framework 中代码访问安全性的信息。

• 寄宿环境中的 ASP.NET 应用程序安全性
  提供有关如何配置 ASP.NET 和 ASP.NET 环境以提高 ASP.NET 应用程序 Web 服务器的安全性的信息。