1. Vấn đề bảo mật cho trang
Khác với ASP, ASP.NET cho phép người lập trình thiết lập cấu hình cho sự bảo mật bằng một file văn bẳng dạng XML ngồi khả năng cấu hình bằng giao diện của IIS của hệ điều hàng Windows.
Trong bảo mật, ASP.NET quan tâm hai loại quyền sau.
Authentication (quyền truy cập): người dùng cĩ một tài khoảng (account: tên đăng nhập (username) và mật khẩu (password)) truy cập ứng dụng khơng?.
Authorization (quyền được phép truy cập tài nguyên): người sử dụng cĩ quyền trên một tài nguyên nào đĩ hay khơng như quyền đọc (read), ghi (write), xĩa (delete),… Thơng thường đối với hệ điều hành Windows, hầu hết các tài nguyên thường cĩ một ACL (Access Control List) chứa danh sách các người dùng cĩ thể truy cập nĩ. Như vậy để kiểm tra quyền này, ASP phải tiến hành hai việc:
Vd: Giả sử ứng dụng cho phép user (người sử dụng hệ thống) cĩ account là: IUSR_MYMACHINE được phép đăng nhập trang web c:\inetpub\wwwroot\ default.aspx.
Khi user này đăng nhập vào ứng dụng, ASP.NET sẽ kiểm tra xem account này cĩ quyền đăng nhập ứng dụng hay khơng. Khi user yêu cầu trang web default.aspx trên. ASP sẽ kiểm tra ACL của file này đểm xem account của user này cĩ quyền đọc file này hay khơng.
2. File cấu hình ứng dụng Web.Config.
a. Cú pháp
<configuration> ………
<system.web>
<authentication mode="Forms">
<forms name="MyApp01" path="/" loginUrl="login-page.aspx"
protection="All" timeout="30" > <credentials>
<user name= “user-name” password= “user-password”/> </credentials> </forms> </authentication> <authorization> <allow users="ngthhoai" /> <deny users="*" /> </authorization>
<sessionState mode="InProc" cookieless="false" timeout="30" /> </system.web> <location path="tigiahoidoi.aspx"> <system.web> <authorization> <allow users="*" /> </authorization> </system.web> </location> ………. </configuration>
b. Giải thích ý nghĩa các thuộc tính
<system.web>: thiết lập bảo mật cho ứng dụng. Authentication
o mode qui định cách kiểm tra quyền authentication. Windows: Chỉ dịnh sự bảo mật do IIS của hệ điều hành Windows quản lý.
Passport: Chỉ dịnh sự bảo mật dựa trên dịch vụ web do Microsoft cung cấp.
Forms: Chỉ dịnh sự bảo mật do người lập trình thiết lập trong ứng dụng.
None: Chỉ dịnh sự bảo mật do IIS của hệ điều hành Windows quản lý với sự bảo mật khắc khe hơn chế độ Windows.
o Forms loginUrl= “web-page” chỉ định trang web sẽ hiễn thị khi user chưa cĩ quyền Authentication. Thơng thường đây sẽ là trang mà user nhập accout để ứng dụng kiểm tra.
o SessionState: chỉ định cách mà ứng dụng lưu trữ biến session.
Mode
+ Off: khơng lưu trữ trạng thái session.
+ Inproc : trạng thái session được lưu trữ cục bộ (phía client)
+ StateServer: trạng thái session được lưu trữ trên server.
+ SQLServer: trạng thái session được lưu trữ trên Sql server.
Cookieless:
+ True: trạng thái session được quảng lý như một cookie. (adsbygoogle = window.adsbygoogle || []).push({});
+ False: trạng thái session được quản lý theo cách truyền thống.
authorization: qui định cách kiểm tra quyền authorization
o Deny:
deny= “*” : cấm tất cả các user đăng nhập hệ thống. deny= “?” : kiểm tra quyền của một user bất kỳ khi đăng nhập ứng dụng.
o Allow
user= “tên đăng nhập “: chỉ định user này cĩ quyền authorization.
User= “*” : cho phép mọi user đăng nhập hệ thống. <location> thiết lập cấu hình cho một thành phần khác của ứng dụng. Sự thiết lập này sẽ phá bỏ những thiết lập trong phần thiết lập cho tồn bộ ứng dụng đối với thành phần này.
Chương III:
TÌM HIỂU SQL SERVER 2000