Настроечные параметры System.Web

В данной лекции описываются параметры, доступные в группе разделов <System.Web>. Эта группа содержит большое количество параметров для настройки ASP.NET – и все они рассмотрены здесь. Большую часть своего времени вы потратите, работая именно с этой группой разделов. В лекции рассмотрены следующие разделы.

• <authentication>. Раздел настраивает тип аутентификации, используемой для ваших приложений ASP.NET.
• <authorization>. Раздел настраивает авторизацию ваших веб-приложений. Авторизация – это процесс определения того, можно ли разрешить пользователю доступ к какому-либо ресурсу.
• <browserCaps>. Раздел определяет возможности браузера. Для определения типа браузера, используемого для доступа к вашему веб-приложению, служит компонент браузера.
• <clientTarget>. Раздел, основанный на коллекции, содержит псевдонимы, которые связаны с конкретным агентом пользователя. Эти псевдонимы заставляют страницу отображаться в конкретном браузере.
• <compilation>. Раздел содержит параметры для настройки компиляции страниц ASP.NET. Используйте его для добавления новых языков программирования, работающих совместно с ASP.NET.
• <customErrors>. Раздел настраивает сообщения об ошибках, отсылаемые пользователям.
• <globalization>. Раздел настраивает параметры глобализации сервера или приложения.
• <httpHandlers>. Раздел настраивает и добавляет обработчики HTTP – классы, которые обрабатывают запросы к различным расширениям файлов.
• <httpModules>. Раздел настраивает и регистрирует дополнительные модули HTTP. Они используются для выполнения операций HTTP-запроса перед тем, как его обработает обработчик HTTP.
• <httpRuntime>. Раздел содержит параметры для настройки среды выполнения HTTP.
• <identity>. Раздел настраивает и реализует заимствование прав для ваших веб-приложений.
• <machineKey>. Раздел настраивает ключи шифрования, используемые другими разделами.
• <pages>. Раздел содержит параметры настройки страниц для всех страниц, на которые влияет настроечный файл.
• <processModel>. Раздел содержит параметры для настройки расширения ISAPI ASP.NET. При работе в Windows Server 2003 этот раздел не используется.
• <securityPolicy>. Раздел объявляет отображение именованных уровней безопасности на правильные файлы политик безопасности.
• <sessionState>. Раздел настраивает способ сохранения информации о сессии вашего веб-приложения.
• <trace>. Раздел настраивает поведение службы трассировки ASP.NET.
• <trust>. Раздел настраивает уровень безопасности, с которым выполняется приложение.
• <webControls>. Раздел настраивает место расположения файла сценария проверки на стороне клиента.
• <webServices>. Раздел содержит параметры настройки веб-службы XML, созданные с помощью ASP.NET.

Работа с разделом <authentication>

Аутентификация – это процесс определения (идентификации) пользователя, который пытается получить доступ к приложению. Аутентификация не определяет, имеет ли пользователь право доступа к данному ресурсу; это делает раздел <authorization> системной группы <System.Web>. Аутентификация только определяет пользователя, чтобы предоставить (или нет) ему доступ к запрошенному ресурсу. Аутентификация играет огромную роль в разработке приложений ASP.NET, и сейчас вы познакомитесь с настройкой метода аутентификации, используемого в ваших приложениях.

Работая с настроечными файлами, можно настраивать приложение на использование различных методов аутентификации. Доступные режимы работы аутентификации включают следующие.

• Аутентификация Windows. Этот метод аутентификации основан на проверке пользователя системой Microsoft Windows. Windows при доступе пользователя к сайту запрашивает имя пользователя и пароль, а затем сверяет эти данные со списком пользователей Windows. Метод очень популярен во внутренних сетях, так как большинство пользователей уже имеют в домене учетные записи, которые могут быть использованы для аутентификации.
• Аутентификация при помощи формы. Этот метод аутентификации использует базовую форму ASP.NET, принимающей имя пользователя и пароль, которые можно сверить с базой данных или файлом XML. Этот метод популярен на интернет-сайтах, так как он не использует базу данных пользователей операционной системы.
• Паспорт. Этот метод аутентификации позволяет пользователям входить на сайт с помощью их паспорта Microsoft Passport. Microsoft Passport – это имя пользователя и пароль (администрируемые Microsoft), которые могут быть использованы на различных сайтах.

Для настройки аутентификации для вашего приложения вы будете работать с разделом <authentication>, расположенном в группе разделов <System.Web>. Он содержит большое количество параметров и элементов, используемых для настройки аутентификации приложения. В отличие от большинства разделов в <System.Web> его можно использовать только в файле web.config вашего главного приложения; его нельзя настроить для отдельной директории или файла.

Настройка режима аутентификации

Первым шагом в настройке аутентификации приложения является установка режима аутентификации. Для этого используйте свойство mode элемента <authentication>, например:

<authentication mode="authentication mode">
</authentication>

Свойство mode имеет несколько значений, используемых для установки различных режимов аутентификации (см. табл. 4.1).

Настройка режима аутентификации для использования аутентификации Windows

Первым шагом к установке режима аутентификации Windows является добавление в файл web.config следующей строки.

<authentication mode="Windows"></authentication>

Это единственное изменение, которое необходимо сделать в файле web.config. Следующим шагом является установка используемого метода аутентификации Windows. Для настройки аутентификации Windows вы будете работать с инструментом администрирования IIS. Он позволит задать аутентификации Windows типа Basic, Digest или Integrated. Данный раздел посвящен использованию настроечных файлов, поэтому я не буду описывать, как настраивать аутентификацию Windows в инструменте администрирования IIS. Об этом подробно говорится в "Параметры IIS" .

Настройка режима аутентификации для аутентификации с помощью формы

При аутентификации с помощью формы пользователи вводят имя пользователя и пароль для аутентификации в форму ASP.NET. Для использования такого способа аутентификации вам потребуются различные разделы. Настроечные файлы ASP.NET облегчают и иногда автоматизируют выполнение некоторых действий. Первым шагом является установка режима в режим формы.

<authentication mode="Forms"></authentication>

Следующий шаг включает новый элемент, который используется в разделе <authentication> – элемент <forms>. Он содержит свойства, которые следует настроить, прежде чем использовать аутентификацию с помощью формы. Данные параметры настраивают cookie аутентификации, который проверяет пользователя, например:

<authentication mode="Forms">
  <forms name="cookie name" loginUrl="url of form" protection=
    "level of protection" timeout="cookie timeout"
    path="cookie path" requireSSL="true | false"
    slidingExpiration="true | false">
  </forms>
</authentication>

Таблица 4.2 содержит перечень свойств, описаний и возможных значений элемента <forms>.

Ниже приведен пример элемента <forms>.

<authentication mode="Forms">
  <forms name=".SiteCookie" loginUrl="login.aspx" protection ="All"
    timeout="30" path="/" requireSSL="false"
    slidingExpiration="true">
  </forms>
</authentication>

В этом примере имя cookie устанавливается равным .SiteCookie, URL страницы входа в значение – login.aspx, а уровень защиты – all. Установка уровня защиты в значение all означает, что cookie будет защищен как при помощи проверки данных, так и с помощью шифрования. Время истечения действия cookie устанавливается в 30 минут, путь равен " / ", и SSL не требуется. Сдвигающееся время действия установлено в значение true, то есть при каждом запросе время действия cookie будет отсчитываться заново.

Пример из практики. Значение времени действия cookie – это очень важное значение. Нет ничего более разочаровывающего, чем заполнение очень длинной формы и передача ее только для того, чтобы обнаружить, что ваш cookie устарел и информация будет потеряна. Убедитесь, что время действия достаточно продолжительно, либо разбейте длинные формы на несколько страниц.

Прежде чем перейти к обсуждению того, как встраивать аутентификацию с помощью формы в приложение, давайте рассмотрим субэлемент <credentials>.

Субэлемент <credentials> элемента <forms> содержит список имен пользователей и паролей, используемых для аутентификации пользователей. Это не единственная возможность создания списка имен пользователей и паролей, но она является самым простым методом и полезна для сайтов с небольшим и редко меняющимся списком пользователей и паролей. Чтобы использовать раздел <credentials>, сначала установите свойство passwordFormat элемента <credentials>, например:

<credentials passwordFormat="encryption method">
</credentials>

Таблица 4.3 содержит список доступных значений свойства passwordFormat.

После указания метода сохранения паролей, пары имен пользователей и паролей можно сохранить раздел <credentials> с помощью элемента <user>, например:

<credentials passwordFormat="MD5">
  <user name="user name" password="encrypted password" />
  <user name="user name2" password="encrypted password" />
</credentials>

Свойство name – это имя пользователя, а свойство password – зашифрованный пароль пользователя. Вы можете сохранить группу имен пользователей и паролей в разделе <credentials>, а затем сверять их с этой группой из вашего приложения.