امنيت برنامه های وب ( بخش سوم )
اين مطلب از طريق سايت شرکت سخاروش در اختيار شما گذاشته شده است .

امنيت برنامه های وب ( بخش سوم )

امنيت برنامه های وب ( بخش سوم )

 آنچه تاکنون گفته شده است :

  • بخش اول :  مفاهيم اوليه و روش های متفاوت تائيد کاربران
  • بخش دوم : بررسی Windows Authentication

در بخش سوم  اين مقاله به بررسی Forms  Authentication خواهيم پرداخت .
همانگونه که در بخش اول اين مقاله اشاره گرديد ، برنامه های وب ASP.NET از سه روش عمده به منظور تائيد کاربران استفاده می نمايند :

در Forms Authentication ، برنامه IIS مسئوليتی را در ارتباط با تائيد کاربران برعهده نگرفته و تنظيمات امنيتی IIS در رابطه با برنامه وب ، دستيابی Anonymous می باشد . فرآيند تائيد کاربران در روش فوق، بصورت زير است :

فرآيند فوق را می توان به دو حالت متفاوت تعميم و مورد توجه قرار داد  : 

در روش Forms Authentication ، بصورت اتوماتيک يک فرم وب طراحی شده به منظور اخذ اطلاعات مربوط به نام و رمز عبور کاربران ، نمايش داده می شود . کد مرتبط با فرم وب ، عمليات تائيد و معتبرسازی کاربر را بر اساس  ليست ذخيره شده در فايل Web.Config برنامه و يا از طريق يک بانک اطلاعاتی جداگانه ، انجام می دهد. مزيت مهم Forms Authentication ، عدم ضرورت عضويت کاربران در  Domain شبکه به منظور دستيابی به برنامه وب ، می باشد .

فعال نمودن Forms Authentication
به منظور استفاده از روش فوق ، می بايست مراحل زير را دنبال نمود :

Forms Authentication ، از کلاس های موجود در namespace با نام System.Web.Security  استفاده می نمايد . به منظور استفاده از کلاس های فوق، می بايست در ويژوال بيسک دات نت از عبارت Imports و در ويژوال سی شارپ از Using استفاده گردد ( در ابتدای هر ماژول که عمليات تائيد را انجام خواهد داد :  Imports System.Web.Security ) .

 مقداردهی  Authentication mode
نوع تائيد کاربران در يک برنامه وب ، می بايست با استفاده از عنصر <authentication> در فايل Web.config مشخص گردد. به منظور تنظيم برنامه مورد نظر خود برای استفاده از Forms Authentication ، تغييرات زير را در فايل Web.Config ، اعمال می نمائيم :

Web.Config setting for Forms Authentication

 <authentication mode="Forms">
    <forms loginUrl = Login.aspx" >
          <credentials passwordFormat = "Clear" >
                  <user name = "Ali"
      Password ="110" />
                  <user name = "Kaveh" Password
="111" />
         </credentials>
    </forms>
</authentication>

کد فوق، يک نوع ساده از تائيد کاربران به روش Forms را نشان می دهد . در اين رابطه ، اغلب از تعاريف و تنظيمات پيش فرض و يک ليست کاربران مجاز، استفاده شده است. از عناصر متفاوتی در ارتباط با  Forms Authentication  در فايل Web.Config استفاده می گردد.هر يک از عناصر دارای خصلت های خاص خود می باشند  : 

عنصر <credentilas> ، امکان ذخيره سازی ليست کاربران را در Web.Config فراهم می نمايد . رويکرد فوق ، روشی ساده به منظور تعريف کاربران مجاز يک برنامه وب می باشد . در چنين مواردی ، مديريت سيستم می تواند بسادگی و در صورت لزوم  نام و رمز عبور کاربران ديگری را به ليست مجاز کاربران ، اضافه نمايد . مکانيزم فوق ، در مواردی که قصد داشته باشيم ، امکان تعريف نام و رمز عبور را در اختيار کاربران قرار دهيم ، گزينه مناسبی نبوده و می بايست از يک فايل و يا بانک اطلاعاتی به منظور ذخيره سازی اطلاعات کاربران ، استفاده گردد.

در بخش چهارم اين مقاله با نحوه ايجاد بانک اطلاعاتی ، درج مشخصات کاربران و تائيد آنان با استناد به اطلاعات مندرج در بانک اطلاعاتی ، خواهيم پرداخت .


استفاده از اين مطلب  با ذکر منبع و اهداف غيرانتفاعی بلامانع است .
http://www.srco.
ir