.NET Framework安全防护技巧说明

作为一个开发人员来说,.NET Framework是一款功能非常强大的应用程序。不过功能虽然强大,其安全性也还是需要我们去注重的。好容易在繁重的开发任务之余抽出点时间学习一些东西。发现机子里有几个关于 System.Security 内容的示例,这一个命名空间以前还真是从来没用过,正好拿来学习一下。由于不是系统的学习,不好组织,想了想,就以.NET Framework安全防护的示例来说明吧。 #t#

创新互联专注于珲春网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供珲春营销型网站建设,珲春网站制作、珲春网页设计、珲春网站官网定制、小程序定制开发服务,打造珲春网络公司原创品牌,更为您提供珲春网站排名全网营销落地服务。

.NET Framework安全一、设定权限

  1. [FileIOPermission(SecurityAction.
    Demand, Write= "C:\\temp.txt")]  
  2. public class App : 
    System.Windows.Forms.Form  
  3. {  
  4. //略  

FileIOPermissionAttribute 定义于 System.Security.Permissions 里。它继承于 SecurityAttribute,在这个例子中,要求使用 App 类时必须具有对 C:\temp.txt 文件的写权限。

.net framework 的文档中关于安全要求有这样一段话:“若要确保只有被授予了指定权限的调用方才能够调用您的代码,可以声明方式或强制方式要求您的代码的调用方拥有特定的权限或权限集。要求使运行库执行安全检查,从而对调用代码实施限制。在安全检查过程中,运行库遍历调用堆栈,检查堆栈中每个调用方的权限,然后确定是否已将要求的权限授予每个调用方。如果发现某个调用方没有要求的权限,则安全检查失败,并引发 SecurityException。”

例子中,权限是以声明的方式出现的。SecurityAction.Demand 可以作用于类或方法,在这里是作用于类上。Write 是 FileIOPermission 的属性之一,其它常用属性还有 Read、Append、All 等等。

SecurityAction 枚举中还有一些值是作用于 assembly 上的。比如以下的例子:

 
 
 
  1. [assembly:SecurityPermission
    (SecurityAction.RequestMinimum ,
    UnmanagedCode=true)] 

SecurityAction.RequestMinimum 是请求运行的最小权限。这一行要求程序集允许调用非托管代码。

除了声明方式外,还可以使用强制方式。如下的代码:

 
 
 
  1. FileIOPermission filePerm = 
    new FileIOPermission(FileIO
    PermissionAccess.AllAccess, 
    "C:\\temp.txt");  
  2. try  
  3. {  
  4. filePerm.Demand();   
  5. // Code to access file goes here  
  6. }  
  7. catch (SecurityException excep)  
  8. {  
  9. MessageBox.Show (excep.Message);  
  10. return;  
  11. }  

.NET Framework安全二、用户角色管理

用户及其角色的管理是在许多程序中都要使用到的。如今 asp.net 2.0 对于这方面有了大大增强,开发人员不需要很了解技术就可以做出很不错的应用。不过对于 Windows Form 应用程序来说,不少地方还需要程序员自己设定。

假定我们已知晓了 userName 以及它所属于的 roles,那么可以这样来设置当前线程的 Principal:

 
 
 
  1. GenericIdentity genIdent = 
    new GenericIdentity(userName);  
  2. GenericPrincipal genPrin = 
    new GenericPrincipal
    (genIdent, roles);  
  3. Thread.CurrentPrincipal = 
    genPrin;  

随后我们有三种办法来进行用户角色验证。

***种方法是使用 GenericPrincipal.IsInRole 方法:

 
 
 
  1. GenericPrincipal currentPrin = 
    Thread.CurrentPrincipal as 
    GenericPrincipal;  
  2. if (currentPrin != null && 
    currentPrin.IsInRole("Manager"))  
  3. {  
  4. //略  
  5. }  

第二种方法则是使用 PrincipalPermission 类,类似于权限设定中的强制方式:

 
 
 
  1. PrincipalPermission prinPerm = 
    new PrincipalPermission
    (null, "Manager");  
  2. try  
  3. {  
  4. prinPerm.Demand();  
  5. //do something  
  6. }  
  7. catch  
  8. {  
  9. //error handling  

第三种方式则类似于权限设定中的声明方式:

 
 
 
  1. private void DecPermButton_Click
    (object sender, System.EventArgs e)  
  2. {  
  3. try  
  4. {  
  5. performManagerAction();  
  6. // do something  
  7. }  
  8. catch  
  9. {  
  10. // error handling  
  11. }  
  12. }  
  13. [PrincipalPermission
    (SecurityAction.Demand, 
    Role="Manager")]  
  14. void performManagerAction()  
  15. {  

关于.NET Framework安全的另一个重要内容是加密。

网站题目:.NET Framework安全防护技巧说明
URL标题:http://www.stwzsj.com/qtweb/news29/11779.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联