使用網站管理工具中的“安全”制表頁可以對 Web 應用程序特定資源的保護規則進行管理。ASP.NET 使用的安全系統允許你對特定用戶帳號或角色的訪問權限進行限制。通過“安全”制表頁，你可以管理用戶帳號、角色、以及網站的訪問規則。在第一次使用“安全”制表頁之前，請先使用“安全設置向導”為網站的的基本安全進行了配置。

ASP.NET 的安全是基于用戶帳號、角色、以及只允許指定用戶對 Web 應用程序資源進行限制性訪問的訪問規則。安全設定是由配置文件和數據庫（或者其他數據存儲）數據的共同合并而得出。被創建的用戶帳號和角色被保存在數據庫而訪問規則被保存在 Web.config 文件中。

你可以對應用程序進行配置以便使用下列安全類型（這些安全類型依賴于網站如何被使用）：

• 基于窗體的驗證（“來自于互聯網”）

  基于窗體的驗證用于已經發布到互聯網的網站。基于窗體的驗證使用 ASP.NET 成員資格系統對單獨的用戶帳號和組（角色）進行管理。用戶帳號信息被保存在本地數據庫（比如 Microsoft SQL Server 數據庫）中。你可以使用 ASP.NET logon 控件來創建能夠允許用戶輸入登錄信息的登錄頁面。

• 集成的 Microsoft Windows 驗證（“來自于局域網”）

  Windows 驗證與 Windows 系統安全相互作用，對通過用戶登入到 Windows 系統時所提供的登錄信息進行使用。但是，Windows 驗證只適合用于局域網環境中，并且用戶需要登入到基于 Windows 系統的局域網中。因為用戶是使用他們的 Windows 用戶身份自動登入到你的應用程序中，所以你不再需要創建額外的登錄頁面。

“安全”制表頁中的“用戶”部分可以完成下列任務：

• 創建、編輯、并且刪除網站的注冊用戶。

• 查看網站的所有注冊用戶列表。

• 更改網站所使用的驗證類型。

提示：如果你為驗證類型選擇的是“來自于互聯網”，你將可以創建用戶帳號并進行管理。如果你選擇的是“來自于局域網”作為驗證類型（還使用了“集成的 Windows 驗證”），你就不能對單獨的用戶帳號進行管理。如果你更改驗證類型，任何被創建的用戶信息將被丟失。另外，通過此方式配置的訪問規則也可能不再存在。通常，你應該在對網站進行第一次配置時就確定到底需要使用哪種驗證類型。

“安全”制表頁中的“角色”部分可以對用戶進行分組，以簡化權限分配（驗證）的操作。

“安全”制表頁中的“訪問規則”部分可以允許或禁止指定用戶帳號或用戶角色對指定頁面的訪問。通常，你會使用訪問規則限制部分用戶帳號對頁面的訪問。

創建用戶

你可以創建并管理用戶，如果你把驗證類型設置成“來自于互聯網”（窗體驗證）。如果要更改驗證類型，請單擊“選擇驗證類型”。

如果要創建用戶帳號

單擊“創建用戶”，然后指定下列信息。

• “用戶名”

  輸入要創建的用戶名稱。

• “密碼”

  為“用戶名”輸入密碼。“密碼”區分大小寫。

• “確認密碼”

  再輸一次密碼。

• “電子郵件”

  為“用戶名”輸入電子郵件。

  網站管理工具并不對你輸入的郵件地址是否有效進行驗證，但是會驗證郵件地址的格式是否正確。

• “安全問題”

  輸入用戶需要重置或修復密碼時所提的問題。

• “安全答案”

  輸入“安全問題”的答案。

• “激活用戶”

  選擇該選項可以激活用戶帳號的活動狀態。如果沒有選擇該選項，用戶信息只會保存在數據庫中，但是用戶無法登入到網站。

• “角色”

  為“用戶名”選擇角色。你需要另外創建角色。更多信息請參考下一部分。

創建角色

如何創建角色

在“安全”制表頁，單擊“啟用角色”。

單擊“創建或管理角色”。

在“新角色名”文本框中輸入要創建的角色名稱，比如 Administrator、Member、或 Guest，然后單擊“添加角色”。

為角色添加帳號

在“安全”制表頁中，單擊“管理用戶”，然后單擊“編輯用戶”。

在“角色”下面，為用戶帳號選擇相應的角色。

創建訪問規則

如何創建訪問規則

在“安全”制表頁中，單擊“創建訪問規則”。

指定下列選項：

• 為規則選擇目錄

  你可以對應用于網站或指定子目錄的規則進行創建。在網站目錄結構中對需要應用規則的目錄進行選擇。

在“規則應用到”下面，對如何應用規則進行指定。

• “角色”

  選擇“角色”，然后在列表中選擇需要應用訪問規則的角色名稱。

• “用戶”

  選擇“用戶”，然后輸入需要應用訪問規則的用戶帳號名稱。如果使用了 ASP.NET 成員資格（網站安全被設置成“來自于互聯網”），那么你還需要使用“搜索用戶特征”。

• “所有用戶”

  選擇該選項后的訪問規則將被應用于所有網站訪問者。

  提示：請謹慎使用具有“所有用戶”選項的訪問規則。因為被應用的訪問規則是一致的，你不可以對防止所有用戶訪問目錄的訪問規則進行創建。

• “匿名用戶”

  選擇該選項時訪問規則將只被應用到匿名（未注冊）用戶帳號。

  通常使用“匿名用戶”選項會對未登入用戶的訪問進行限制（禁止）。

• “權限”

  選擇“允許”以允許指定用戶帳號或角色對指定目錄進行訪問。

  選擇“禁止”以禁止指定用戶帳號或角色對指定目錄進行訪問。

  例如，如果要限制未登入（匿名）用戶查看目錄中的頁面，請單擊目錄，選擇“匿名用戶”，然后單擊“禁止”。

有些時候，你可能為了設立正確的權限而為同一目錄創建多個訪問規則。比如，你可能創建了一個禁止訪問匿名用戶訪問的規則，同時也為來賓角色的用戶帳號也創建了另一個禁止訪問規則，那么，就只有已登入用戶和其他組用戶才可以對該目錄進行訪問。

幕后

網站管理工具在下列兩個位置對安全信息進行管理：

• 網站根目錄的 Web.config 文件。

• 用于保存用戶和組信息的網站提供者數據庫。

Web.config 設定

Web.config 設定通過 <authorization>、<roleManager>、以及 <authentication> 部分對網站管理工具中的“安全”制表頁中的設定進行管理。

下例 Web.config 代碼由網站管理工具創建，它包含了對網站子目錄的限制：只有 Administrator（管理員）才能夠對被限制的子目錄進行訪問，而匿名用戶則不可以訪問。

<?xml version="1.0" encoding="utf-8"?> <configuration><system.web><authorization><allow roles="administrators" /><deny users="?" /></authorization></system.web> </configuration>

數據庫

當你使用默認的數據提供者時，網站管理工具會創建完整的 ASP.NET 默認數據庫。默認時，網站管理工具會在網站的 App_Data 目錄創建該數據庫文件。但是，通過使用網站管理工具中的“提供者”制表頁，你可以為應用程序信息的用戶帳號和角色信息指定其他的數據庫（例如，從 Windows 系統的用戶數據庫中獲取角色信息）。

轉載于:https://www.cnblogs.com/Laeb/archive/2006/12/19/596602.html

總結

以上是生活随笔為你收集整理的ASP.NET 网站管理工具中的“安全”制表页的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。