啟明星系統推薦是安裝在内網裡,是以,系統采用了較為簡單的身份驗證。對于放在公網裡的啟明星系統,請務必開啟ASP.NET身份驗證功能。
身份驗證與授權其實是安全的兩個方面:所謂身份驗證,就是你有沒有鑰匙進入房間,所謂授權,就是你進入房間可以打開哪個抽屜。
開啟啟明星身份驗證相當于讓攻擊裝無法進入房間,自然無法攻擊。但是,如果攻擊者進入房間後,就可能執行SQL注入。
要開啟身份驗證,隻要在web.config裡增加如下配置即可。
另外,還需要讓使用者将密碼複雜度設定複雜些,否則,就如同虛設。如下,
以上配置将強制IIS采用ASP.NET内置身份驗證,安全性極高!!
-------------------------------------以下不是必須,僅供部分使用者需要友善使用。-----------------------------------------------------------------------------------
對于放到公網上的使用者,上面基本上能給很好的滿足系統的安全性。不過可能希望系統自動記住使用者登入名和密碼。其實在我們的登入代碼裡
可是你會發現已經讓浏覽器記住賬戶了,但是當增加了 <deny users="?" /> 後,系統似乎記不住cookie,基本上沒半天通路還是需要登入。
這是因為ASP.NET會在系統運作時,會自動生成随機的計算機密鑰。您可以通過如下方法,來強制ASP.NET使用唯一密鑰。
打開IIS。左邊選擇你的應用程式。然後在右邊找到計算機密鑰
從圖中可以看到,在應用程式每次運作時,系統都随機生成一個計算機密鑰。
單擊右邊的“生成密鑰”
單擊應用
此時,系統會自動在web.config增加machieKey密鑰。這樣,使用Form身份驗證,就可以記住您的賬戶了。
安全與友善總是沖突的,采用固定密鑰友善了登入,但是如果密鑰被公開,可能安全性會稍微降低。