使用更精简的代码保证ASP.NET应用程序的安全_ASP.NET技巧

我编译了许多 Microsoft® ASP.NET 应用程序，例如客户端应用程序和原型、我自己不断增长的站点和帮助不会编程的家人和朋友所开发的站点，以及文章、演示文稿和培训课程的代码。我经常发现自己在编译每个应用程序时，总有某些重复的任务要做，这其中很大一部分是定义验证模型。保护应用程序资源几乎是设计任何应用程序时必不可少的一项工作。ASP.NET 1.x 让事情变得简单了些，它提供了一个颇为简单和安全的、基于表单的验证进程，但您仍要纠缠于角色管理和其他工作之中。如果每设计一个新登录表单可以挣 5 美分，那么我现在至少已经挣了 10 多美元，算一算，我设计了多少个表单。即将发行的新版本 ASP.NET 的开发代号是“Whidbey”（与即将发行的新版本 Microsoft® Visual Studio® .NET 的开发代号一致），它提供了许多新的配置工具、控件和组件，以支持用于验证用户和管理受保护资源的完整系统。这些新功能十分直观易用，即使您的祖母也能在一天内构建一个安全站点。

直观易用的功能

按照传统做法，为新 Web 站点构建一个验证模型通常包括以下步骤：

1. 收集受保护资源和活动的要求，并定义适当的角色和权限。
2. 设计关系数据库表，以存储用户、角色及相关权限。
3. 设计登录页面。
4. 编写代码，以验证用户并收集关联的角色和权限。
5. 添加配置，以基于角色来保护 Web 资源。
6. 编写代码，以基于角色和权限来控制页面内容。

即使只是构建几个可重复使用的组件来封装上述某些重复性任务，您仍会感到肩上的工作负担减轻了不少。ASP.NET Whidbey 的新组件大大减少了上述步骤中的五个步骤的工作量，至少将其减少为了原来工作量的一部分。我将使用新的基于 Web 的管理向导来自动创建一组表，以处理用户、角色和权限。在同一个管理界面中，我还会就登录、成员身份和角色管理对应用程序进行配置。我将在一秒钟（或者说仅仅是在 Web 表单中拖放一个登录控件的时间）之内设计出一个登录页面，而且我根本不用编写一行用于验证用户或关联角色的代码，因为这些会自动完成。根据用户角色和登录状态的不同，呈现的菜单和页面内容也将不同，但我同样无需为此编写任何代码。

是不是有梦想成真的感觉？让我们看看这是如何实现的。

配置界面

ASP.NET Whidbey 包括一个新的基于 Web 的配置工具，它运行于特定应用程序的上下文中，这样便可以通过交互的方式来修改应用程序自身的 web.config 文件。该工具带有许多向导，其中一个可以引导您完成设置安全选项的全部步骤。使用 Visual Studio“Whidbey”完成新 Web 站点的创建后，您可以通过两种方法启动该配置工具：从“Solution Explorer”（解决方案资源浏览器）中选择“ASP.NET Configuration”（ASP.NET 配置）图标或从“Website”（站点）菜单中选择“ASP.NET Configuration”（ASP.NET 配置）。