ASP.NET-成员资格

 一、 ASP.NET的安全模式：

①ASP.NET支持3种授权方法：Windows、Passport和Form。还有第四种可能的方法是None. 

（Form窗体验证，验证账户/密码，Web编程最佳最流行的验证方式）

②Windows身份验证：基于Windows的身份验证在ASP.NET应用程序所在的Windows服务器和客户机之间处理。在基于 Windows的身份验证模型中，请求直接发送给IIS，进行验证过程。这种类型的身份验证在内联网环境中非常有用。

（所有的HTTP访问都要经过IIS，所以限制IIS的安全性最关键）

③Passport身份验证：验证终端用户的另一种方法是使用Microsft的Passport识别系统。有Passport账户的用户可以有一个签名 方案，也就是说，他只需这些证书就可以登录到Internet的站点或其他支持Passport的站点和应用程序上。

（微软集中身份验证，一次登录便可访问所有成员站点。需要收费。）

窗体身份验证仅仅是ASP.NET内置的基础结构，用以实现上述登录模式。

二、基于窗体的身份授权模式：

基于窗体的身份验证是允许用户访问整个应用程序或其特定资源的一种流行模式。

     用户身份验证流程：

                 

webconfig中forms元素的主要属性：

三、窗体身份认证：

• <credentials>指定用户和密码的组合
• <authorization>对用户进行授权

      <authorization>配置节用来对用户进行授权，在实现用户授权过程中，应该遵循以下两个应用原则：

       1、位于较低目录级别的配置文件中包含的规则，优先位于较高目录级别的规则。

       2、对于给定URL的一组合并的规则，系统从列表头开始，检查规则直到找到第一个匹配项为止。

      <authorization>配置：

              1.deny阻止访问用户；allow允许访问用户

              2.  ？代表匿名用户、 * 代表任意用户

              3.  多个用户之间用 "," 隔开            

• <location>设置特定的文件或目录

例如： 如图所示

■ 对于传送时的密码的加密 passwordFormat