广告：
网页制作参考
千千学园
雨路开发频道
雨路技术文档
技术问答
编程技术

所有.net的应用程序都将其信息保存在一个基于xml的配置文件里。一般来说，这个.config配置文件位于应用程序可执行文件的目录下。但是，web应用程序会使用位于应用程序根目录下的web.config文件。用于asp.net应用程序的web.config包含的信息和其应用程序大多数的操作都相关。现在让我们剖析一个web.config示例文件，看看你会在其中找到哪些和安全相关的设置。


配置文件的设置和区段

首先，我们看一下listing a里的配置文件的整体结构。这个文件作为xml文档必须有一个根元素把其他所有的元素都包括进来。很奇怪的是，在这里根元素是<configuration>。在根元素之下是<system.web>和<appsettings>区段。<system.web>这一区段会辨别它所包括的用于缺省web服务器的信息，包括安全信息。<appsettings>这一区段放置着用于你应用程序的所有全局数据。我已经说过，数据库连接字符串能够被很好地保存下来。在我的例子里，我在那里保存了web网站无dsn的odbc连接字符串。


自定义错误页面

<system.web>下的第一项是<customerrors>，它能够让你指定一些页面，以便在你的用户碰到各种错误的时候将他们引导到这些页面。在我的例子里，如果发生404错误，用户将被引导到/errorpages/filenotfound.html页面。碰到任何其他错误的时候，用户会被引导到/errorpages/generalerror.html页面。


验证

<authentication>这一区段定义了服务器进行用户验证这一过程的细节。所支持的三种不同模式是windows、forms和passport。现在我们来仔细看看每种模式：

windows验证通过windows的系统帐号来验证用户，例如活动目录（active directory）。windows验证是最安全的验证形式，对于程序员来说这种模式是很简单的，因为整个过程都是由操作系统来处理的。但是，网站的每个用户都需要一个系统帐号，所以这种模式会被限制在企业内部网（intranet）的应用程序里。
passport验证使用护照来验证用户，它是第二安全的验证方式。其最好的用武之地是大型的、活动的internet电子商务应用程序，这些程序会验证用户的服务使用费。这种模式是.net所选择的验证方法。
forms验证是安全性最低的验证方法，因为必须要由你的应用程序自己来处理验证过程。但是，这是最有可能在你internet应用程序上使用的模式，因为它所需要的管理和维护是最少的。

查一下listing a你就可以看到这个网站使用了forms验证。你可以指定一个自己希望的域名。在这里，我使用的是.aspxauth，其功能和名称其实是名不符实的。我只不过是把这个元素放进去，用以提醒我它的确有个名字。

你还会看到，我已经为登录页面指定了相关的url：/loginform.aspx。当用户试图访问一个安全页面时，无法通过验证的用户就会被引导到这个url。匿名用户，如果你允许他们访问你的授权区域的话，就不会被自动送到这个页面。

（）