利用ASP.NET访问共享网络资源

利用ASP.NET访问共享网络资源

ASP.NET开发人员而言，共享资源的访问是一个重大挑战，当开发Web表单和Web服务时就会遇到这样的挑战。微软公司的.NET拥有全新的用户授权和认证措施，大多数与安全相关的文章和书籍都用相当的篇幅解释表单认证，但是，与IIS、网络和操作系统安全相结合来理解ASP.NET安全架构是提供最佳解决方案的关健。

图1描述了由IIS和ASP.NET提供的基本安全表示，它与ASP安全相比有根本不同。上面的图来自MSDN的网站。当有Web请求发生时，下面的事件会依次发生。

1、用户发出HTTP请求。

2、当Web请求发生时，它会由以SYSTEM帐户运行的IIS获得。SYSTEM帐户的功能非常强大，而且拥有所有类型的权限。IIS根据选择的认证类型进行认证，并为每名经过认证的用户创建一个访问令牌。如果选择了了匿名认证，它就会为该匿名用户创建一个访问令牌，缺省情况下是IUSR_MACHINE。另外，ISS还根据配置的授权类型进行认证。例如，IIS能够配置得只接受来自特定IP地址的请求。

3、IIS将请求和被认证用户的Windows访问令牌传递给aspnet_isepi.dll，这是一个注册为处理.aspx URL的ISAPI扩展。Aspnet_isepi.dll是一个IIS模块，是IIS和ASP.NET运行时间环境之间的一座桥。Aspnet_isapi通过命名管道向工作者进程转发该请求。

4、该工作者进程是托管着CLR的aspnet_wp.exe。缺省情况下，工作者进程以ASPNET帐户运行。当安装ASP.NET框架时，系统会创建该本地帐户。与功能强大的SYSTEM帐户不同的是，ASPNET帐户的功能十分有限。ASP.NET根据其认证配置对请求者进行认证。认证以XML格式配置在该项目的web.config文件中。如果ASP.NET被配置为Windows认证，它会接受任何来自IIS的令牌，而不会进行其它认证。另外，ASP.NET还授权对请求的资源和文件的访问。例如，FileAuthorizationModel可以用来检查用户是否具有访问请求的资源所需要的权限。对于Windows认证而言，用户的访问令牌为ACL。