• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    迪恩网络手机版
  • 关注官方公众号
    微信扫一扫关注
    公众号

【转】C#强化系列文章九:代码访问安全性使用

原作者: [db:作者] 来自: [db:来源] 收藏 邀请

在.Net Framework中提供了代码访问安全性(Code Access Security),它的主要作用就是限制代码的使用权限。可以控制各种系统资源的访问权限、可以要求代码的调用方拥有特定的权限......。比如我们可以控制自己的dll只能在什么条件下由什么人调用,特别是在Asp.net中可以限制不同代码的安全权限,从源头限制住网络上的攻击等。

本文的主要内容如下:

1、在Asp.Net中使用自定义的信任级别

2、配置Sqlconnection的代码访问权限

3、实现和使用一个最简版的自定义权限

 

在Asp.Net中使用自定义的信任级别

Asp.Net默认在C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web.config中配置了网站的信任级别: 

      <securityPolicy>
        
<trustLevel name="Full" policyFile="internal"/>
        
<trustLevel name="High" policyFile="web_hightrust.config"/>
        
<trustLevel name="Medium" policyFile="web_mediumtrust.config"/>
        
<trustLevel name="Low" policyFile="web_lowtrust.config"/>
        
<trustLevel name="Minimal" policyFile="web_minimaltrust.config"/>
      
</securityPolicy>
      
<trust level="Full" originUrl=""/>

默认为Full,表示拥有最大的权限,当然风险也就最高,我们可以在自己的网站下的web.config中自定义信任级别:

        <securityPolicy>
            
<trustLevel name="Custom" policyFile="E:\_NetProject\PermissionTrust\WebSite11\web_customtrust.config"/>
        
</securityPolicy>
        
<trust level="Custom" originUrl=""/>

这里使用了自定义的配置文件,其实也就是复制C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CONFIG\web_lowtrust.config文件,然后在此文件上进行适当修改就可以了(使用此配置默认是不允许连接数据库的)

 

配置Sqlconnection的代码访问权限

配置的方法就是修改自定义的web_customtrust.config文件,修改后的文件如下所示:粗体部分为修改点

>

加入以上的配置后限制使用SqlConnection时只能访问dbserver上的db1数据库,不能访问其他数据库,用户名密码等可以自由输入,也就是在代码中只能:

SqlConnection connection = new SqlConnection("data source=dbserver;User ID=gspring;Password=***;initial catalog=db1")

如果连接其他数据库就会报错:

说明: 应用程序试图执行安全策略不允许的操作。要授予此应用程序所需的权限,请与系统管理员联系,或在配置文件中更改该应用程序的信任级别。 
异常详细信息: System.Security.SecurityException: 请求“System.Data.SqlClient.SqlClientPermission, System.Data, Version
=2.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089”类型的权限已失败。

这样就从源头上限制住了数据库的连接操作。

当然如果希望可以连接任意数据库,可以修改为如下配置:

<IPermission class="SqlClientPermission" version="1" Unrestricted="true"/>

 

实现和使用一个最简版的自定义权限

自定义一个代码访问权限需要从CodeAccessPermission继承,并且要实现IUnrestrictedPermission接口,主要需实现的方法有:

Copy 创建当前权限对象的副本。
Intersect 返回当前类与传递的类所允许权限的交集。
IsSubsetOf 如果传递的权限包括当前权限允许的一切操作,则 IsSubsetOf 返回 true。
FromXml 对您的自定义权限的 XML 表示形式进行解码。
ToXml 对您的自定义权限的 XML 表示形式进行编码。
Union 创建一个权限,该权限是当前权限与指定权限的并集。

  1using System;
  2using System.Text;
  3using System.Security;
  4using System.Security.Permissions;
  5
  6namespace MyPermission
  7}

 例子比较简单,就是读取配置中的过期时间进行判断,需要特别说明的地方有:

1、public CustomPermission(PermissionState state)这个构造函数必须要有,CAS内部会调用此方法

2、将程序集添加到受信任的程序集列表中,因为自定义权限将参与 .NET Framework 安全系统,所以它必须完全受信任。依次执行以下命令:

caspol -rf MyPermission.dll    --从策略级别移除完全信任程序集
gacutil -i MyPermission.dll     --注册GAC
caspol -af MyPermission.dll   --将完全信任程序集添加到策略级别

3、在将程序集加入GAC之后,会默认从GAC中读取dll信息,不会读取当前项目下新生成的dll,需要从GAC中把此DLL删除后才可以。ps:我当时在CustomPermission里面加入一个新的方法,结果在自己的网站下一直找不到,把GAC中的信息删除之后才能找到,不知道算不算VS2005的一个Bug

4、在MyPermission程序集的AssemblyInfo.cs文件中添加配置:

 

[assembly: AllowPartiallyTrustedCallers]

 要不然会报粗:该程序集不支持部分受信任的调用方

5、在web_customtrust.config文件中加入配置

    a、在SecurityClasses节点加入:

            <SecurityClass Name="MyPermission" Description="MyPermission.CustomPermission, MyPermission, Version=1.0.0.0, Culture=neutral, PublicKeyToken=97b2744b86090fe0"/>

    b、在Name="ASP.Net"的PermissionSet节点加入:

<IPermission class="MyPermission" version="1" expireddate="2008-07-22"/>

 

配置好之后就可以在代码中应有此安全策略了

    private void Test()
        Perm.Demand();

          .......

          .......
    }

这个是应用安全策略的一种方式,另外一种方式是使用声明式安全性,需要再定义一个属性类来支持,这里就不再详述了。

小结:总之代码访问安全性可以有效的限制代码的使用权限,本文的例子只是用来演示使用方法,实际应用会比这个复杂的多。比如在Sharepoint中可能允许客户上传自己的dll代码,客户的代码有可能调用系统资源和我们提供的共通代码,那么我们就可以通过代码访问安全性来限制客户代码可以访问哪些资源,可以调用哪些共通dll等。
 

转自:http://www.cnblogs.com/firstyi/archive/2008/07/24/1250447.html


鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

专题导读
上一篇:
C#Label换行解决方法发布时间:2022-07-10
下一篇:
[C#]线程调用带参数的方法转发布时间:2022-07-10
热门推荐
阅读排行榜

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服(服务时间 9:00~18:00)

在线QQ客服
地址:深圳市南山区西丽大学城创智工业园
电邮:jeky_zhao#qq.com
移动电话:139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap