資源描述:
《明代小說結(jié)構(gòu)審美特征析論_論文》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、基于ASP.NET的Web網(wǎng)絡(luò)應(yīng)用程序開發(fā)的安全策略實(shí)踐摘要:Web網(wǎng)絡(luò)應(yīng)用開發(fā)中,安全性是要考慮的關(guān)鍵問題,本文通過開發(fā)系統(tǒng)實(shí)踐,從系統(tǒng)規(guī)劃階段、設(shè)計(jì)開發(fā)階段、發(fā)布運(yùn)行階段三個(gè)方面詳細(xì)闡述安全策略的實(shí)現(xiàn),總結(jié)出如何充分利用的安全機(jī)制、數(shù)據(jù)庫安全控制、增強(qiáng)管理員網(wǎng)絡(luò)安全防范意識(shí),構(gòu)建一個(gè)性能安全的Web應(yīng)用程序。關(guān)鍵詞:Web應(yīng)用程序;;認(rèn)證和授權(quán);視圖;存儲(chǔ)過程1前言微軟公司推出的,可以非常方便和高效地規(guī)劃、設(shè)計(jì)、開發(fā)和發(fā)布Web網(wǎng)絡(luò)應(yīng)用程序。筆者利用為新疆職工培訓(xùn)中心開發(fā)了運(yùn)行在校園網(wǎng)上的網(wǎng)絡(luò)辦公管理系統(tǒng)。該系統(tǒng)分為管理部門和教學(xué)部
2、門兩個(gè)角色,實(shí)現(xiàn)了數(shù)據(jù)存儲(chǔ)、瀏覽查詢和教學(xué)分析統(tǒng)計(jì)功能,提高了培訓(xùn)中心的信息化管理和校園網(wǎng)的利用價(jià)值。在整個(gè)系統(tǒng)的開發(fā)過程中,考慮最多的就是安全問題,相信這也是所有開發(fā)人員開發(fā)Web網(wǎng)絡(luò)應(yīng)用程序所必須面對(duì)的問題。因此本文針對(duì)基于的Web網(wǎng)絡(luò)應(yīng)用程序開發(fā)的安全問題,以我們開發(fā)的系統(tǒng)為例,從3個(gè)方面來闡述實(shí)際解決策略:(1)系統(tǒng)規(guī)劃階段的安全策略;(2)設(shè)計(jì)開發(fā)階段的安全策略;9/9(3)發(fā)布運(yùn)行階段的安全策略。希望我們的實(shí)踐能對(duì)利用開發(fā)Web網(wǎng)絡(luò)應(yīng)用程序的相關(guān)技術(shù)人員提供參考和借鑒。2安全策略實(shí)踐系統(tǒng)規(guī)劃階段Web網(wǎng)絡(luò)應(yīng)用程序,就是運(yùn)行在
3、Web應(yīng)用服務(wù)器上的一個(gè)虛擬目錄及其子目錄下的所有文件、網(wǎng)頁、模塊以及可執(zhí)行代碼的總和。根據(jù)系統(tǒng)需求分析,用戶分為管理部和教學(xué)部(對(duì)數(shù)據(jù)的操作權(quán)限有區(qū)分),因此建立兩個(gè)目錄分別存放相應(yīng)的網(wǎng)頁文件。另外,還有數(shù)據(jù)庫文件夾、樣式文件夾、網(wǎng)頁模版文件夾等。而對(duì)數(shù)據(jù)庫表的操作文件放在特殊的文件夾bin下,因?yàn)樵撃夸浭墙谷魏螢g覽器訪問的,從而避免了遠(yuǎn)程客戶下載代碼的可能性。應(yīng)用程序根目錄下除了上述目錄外,還有兩個(gè)重要的應(yīng)用程序級(jí)文件:和(下文詳細(xì)分析)??傊?文件目錄的規(guī)劃是按類別存放文件,重要文件存在bin目錄下。設(shè)計(jì)開發(fā)階段主要從后臺(tái)的數(shù)據(jù)
4、庫設(shè)計(jì)、配置文件及前臺(tái)界面設(shè)計(jì)三個(gè)內(nèi)容,著重闡述對(duì)安全問題的解決策略。數(shù)據(jù)庫設(shè)計(jì)為了提高訪問數(shù)據(jù)的效率和安全性,能在后臺(tái)做的事情,就在后臺(tái)完成,能分開獨(dú)立做的事情,就分開獨(dú)立實(shí)現(xiàn)。9/9(1)充分利用后臺(tái)數(shù)據(jù)庫系統(tǒng)的視圖和存儲(chǔ)過程,如:創(chuàng)建帶參數(shù)的視圖,實(shí)現(xiàn)不同角色身份的用戶對(duì)各自權(quán)限范圍內(nèi)的數(shù)據(jù)訪問。(2)報(bào)表設(shè)計(jì)及實(shí)現(xiàn):Web應(yīng)用程序?qū)崿F(xiàn)動(dòng)態(tài)報(bào)表,開始考慮用的數(shù)據(jù)控件Repeater,可以自由定義靈活的顯示方式,但通常比較麻煩,而且在代碼中字段名要出現(xiàn),即:使用數(shù)據(jù)容器("字段名")方式來顯示數(shù)據(jù)內(nèi)容,降低了數(shù)據(jù)安全性。我們的做法是
5、利用BussinessObject公司開發(fā)的專業(yè)報(bào)表軟件CrystalReports10設(shè)計(jì)報(bào)表,通過ODBC數(shù)據(jù)源與數(shù)據(jù)庫連接,生成報(bào)表文件(*.rpt)后,在前臺(tái)利用報(bào)表控件CrystalReprotViewer,將報(bào)表文件加載到頁面實(shí)現(xiàn)各種報(bào)表。這種把數(shù)據(jù)源、報(bào)表文件、和頁面顯示文件分開獨(dú)立實(shí)現(xiàn),不僅豐富了報(bào)表顯示樣式和提高了網(wǎng)絡(luò)報(bào)表生成效率,而且極大地提高了訪問數(shù)據(jù)的安全性。(3)用戶口令存儲(chǔ)問題:不要將實(shí)際的口令存儲(chǔ)在數(shù)據(jù)庫表中,因?yàn)榭诹钪苯臃旁跀?shù)據(jù)庫或文件中存在安全隱患,因此要存儲(chǔ)加密后的口令。使用時(shí),例如當(dāng)用戶登錄時(shí),對(duì)口
6、令加密,然后與數(shù)據(jù)庫中存放的加密口令進(jìn)行比較。實(shí)現(xiàn)步驟如下:首先,導(dǎo)入命名空間:其次,編寫加密函數(shù)EncrytPwd:FunctionEncrytPwd(PwdasString,PwdFormatas9/9String)IfPwdFormat="MD5"then'下面一行得到用MD5算法加密后的字符串EncrytPwd=(Pwd,"MD5")'下面一行得到用SHA1算法加密后的字符串ElseifPwdFormat="SHA1"thenEncrytPwd=(Pwd,"SHA1")EndifEndFunction配置文件的安全設(shè)置文件是一個(gè)
7、簡(jiǎn)單的XML文件,專門用于為應(yīng)用程序配置系統(tǒng)設(shè)定、安全性設(shè)定、應(yīng)用程序設(shè)定和會(huì)話設(shè)定。下面分5個(gè)內(nèi)容介紹安全實(shí)踐策略。(1)數(shù)據(jù)庫連接字符串常量:Web應(yīng)用程序網(wǎng)頁要大量用到數(shù)據(jù)庫連接,為了提高程序安全性、通用性和可移植性,在配置文件中設(shè)置數(shù)據(jù)庫連接字符串常量是很好的方法,在應(yīng)用程序的文件中添加如下語句:網(wǎng)頁文件使用時(shí),用下列代碼實(shí)現(xiàn)數(shù)據(jù)庫連接:DimstrConnAsStringstrConn=("sqlconntion")'獲取數(shù)據(jù)庫連接字符串(2)認(rèn)證和授權(quán):HTML表單驗(yàn)證(Forms9/9Authentication),是向開
8、發(fā)人員提供確認(rèn)客戶憑證并控制訪問權(quán)限的技術(shù)。在應(yīng)用程序的文件中添加如下語句:授權(quán):就是讓用戶擁有有效憑證,允許或拒絕訪問Web應(yīng)用程序。在中添加如下語句:(3)虛擬路徑的設(shè)置:不同用戶對(duì)不同目錄訪問權(quán)限不同