51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

.NET Framework安全防护技巧说明

作者:佚名
开发 后端
.NET Framework安全在实际应用中是非常值得我们去注意的。在这篇文章中将会通过一个示例来为大家详细解读其安全性能的防护。

作为一个开发人员来说,.NET Framework是一款功能非常强大的应用程序。不过功能虽然强大,其安全性也还是需要我们去注重的。好容易在繁重的开发任务之余抽出点时间学习一些东西。发现机子里有几个关于 System.Security 内容的示例,这一个命名空间以前还真是从来没用过,正好拿来学习一下。由于不是系统的学习,不好组织,想了想,就以.NET Framework安全防护的示例来说明吧。 #t#

.NET Framework安全一、设定权限

  1. [FileIOPermission(SecurityAction.
    Demand,     Write"C:\\temp.txt")]  
  2. public class App : 
    System.Windows.Forms.Form  
  3. {  
  4. //略  

FileIOPermissionAttribute 定义于 System.Security.Permissions 里。它继承于 SecurityAttribute,在这个例子中,要求使用 App 类时必须具有对 C:\temp.txt 文件的写权限。

.net framework 的文档中关于安全要求有这样一段话:“若要确保只有被授予了指定权限的调用方才能够调用您的代码,可以声明方式或强制方式要求您的代码的调用方拥有特定的权限或权限集。要求使运行库执行安全检查,从而对调用代码实施限制。在安全检查过程中,运行库遍历调用堆栈,检查堆栈中每个调用方的权限,然后确定是否已将要求的权限授予每个调用方。如果发现某个调用方没有要求的权限,则安全检查失败,并引发 SecurityException。”

例子中,权限是以声明的方式出现的。SecurityAction.Demand 可以作用于类或方法,在这里是作用于类上。Write 是 FileIOPermission 的属性之一,其它常用属性还有 Read、Append、All 等等。

SecurityAction 枚举中还有一些值是作用于 assembly 上的。比如以下的例子:

  1. [assembly:SecurityPermission
    (SecurityAction.RequestMinimum ,
    UnmanagedCode=true)] 

SecurityAction.RequestMinimum 是请求运行的最小权限。这一行要求程序集允许调用非托管代码。

除了声明方式外,还可以使用强制方式。如下的代码:

  1. FileIOPermission filePerm = 
    new FileIOPermission(FileIO
    PermissionAccess.AllAccess, 
    "C:\\temp.txt");  
  2. try  
  3. {  
  4. filePerm.Demand();   
  5. // Code to access file goes here  
  6. }  
  7. catch (SecurityException excep)  
  8. {  
  9. MessageBox.Show (excep.Message);  
  10. return;  
  11. }  

.NET Framework安全二、用户角色管理

用户及其角色的管理是在许多程序中都要使用到的。如今 asp.net 2.0 对于这方面有了大大增强,开发人员不需要很了解技术就可以做出很不错的应用。不过对于 Windows Form 应用程序来说,不少地方还需要程序员自己设定。

假定我们已知晓了 userName 以及它所属于的 roles,那么可以这样来设置当前线程的 Principal:

  1. GenericIdentity genIdent = 
    new GenericIdentity(userName);  
  2. GenericPrincipal genPrin = 
    new GenericPrincipal
    (genIdent, roles);  
  3. Thread.CurrentPrincipal = 
    genPrin;  

随后我们有三种办法来进行用户角色验证。

***种方法是使用 GenericPrincipal.IsInRole 方法:

  1. GenericPrincipal currentPrin = 
    Thread.CurrentPrincipal as 
    GenericPrincipal;  
  2. if (currentPrin != null && 
    currentPrin.IsInRole("Manager"))  
  3. {  
  4. //略  
  5. }  

第二种方法则是使用 PrincipalPermission 类,类似于权限设定中的强制方式:

  1. PrincipalPermission prinPerm = 
    new PrincipalPermission
    (null, "Manager");  
  2. try  
  3. {  
  4. prinPerm.Demand();  
  5. //do something  
  6. }  
  7. catch  
  8. {  
  9. //error handling  

第三种方式则类似于权限设定中的声明方式:

  1. private void DecPermButton_Click
    (object sender, System.EventArgs e)  
  2. {  
  3. try  
  4. {  
  5. performManagerAction();  
  6. // do something  
  7. }  
  8. catch  
  9. {  
  10. // error handling  
  11. }  
  12. }  
  13. [PrincipalPermission
    (SecurityAction.Demand, 
    Role="Manager")]  
  14. void performManagerAction()  
  15. {  

关于.NET Framework安全的另一个重要内容是加密。

责任编辑:曹凯 来源: 博客园
.NET Framework安全
相关推荐
摆脱黑客扫描与攻击的安全防护技巧
本文介绍了摆脱黑客扫描与攻击的安全防护技巧。

2010-08-26 22:11:11

GSM安全防护 势在必行
我们将讲述企业为何需要仔细的评估工作环境的安全性会受到攻击的地方,以及企业应该如何阻止或减轻这些攻击。

2010-10-27 14:35:24

安全防护:盗版Window 7突击安全防线
一周前,Windows7华丽上市。一周后,网上各种盗版Win7就随处可见。媒体报道提供“Win7下载”的下载站被植入恶意代码,不仅上百网页被挂马,就连这些免激活版、破解版、简化版的Win7也隐藏着极大的危险。

2009-10-29 14:00:48

应用实时安全防护探索
RASP技术提供了一种可行的方法来为应用程序提供安全保护。它提供了应用程序安全性更为全面的保护,并且能够更好地识别和响应各种安全事件。

2023-09-05 07:05:35

PHP安全防护要点分析
PHP安全防护的技巧是一个合格的PHP程序员必须要掌握的知识。在实际操作中,我们应当不断的积累经验,才能编写出完善的编码程序。

2009-12-11 15:28:02

PHP安全防护
企业邮件安全防护实践
本文从作者从企业建设和个人日常邮件使用两个层面,既为企业邮件安全建设提出建议,也为个人日常邮件使用提供一些技巧,帮助企业减少邮件方面所面临的困扰。

2019-10-21 09:02:23

邮件安全网络钓鱼电子邮件
虚拟化安全防护建议
在企业实际的虚拟化应用过程中,需要遵循一些有效建议,比如用户首先应该确认云平台供应商使用的虚拟化类型;实施者应该考虑通过分区的方式将生产环境与测试等。

2013-12-18 09:24:42

邮件安全防护全揭秘
只要是接触过网络的朋友,相信对Email都不会陌生,甚至有的用户就是从Email开始,逐步感受到网络给我们带来的方便和快捷。一般情况下,我们的邮件都能发往正确的目的地,往往使我们忽略了其安全性。

2010-09-17 14:03:40

安全防护系统规划规则
安全防护系统规划设计过程中遵循以下原则:物理隔离原则,即不得直接或间接连入因特网和绝密级网络,必须实行物理隔离;分级管理原则,对网络中处理、传输的信息进行分级保护,高密级信息不得流向低密级区域,低密级用户不得访问高密级信息。

2012-12-13 10:09:03

如何为WordPress做安全防护?
wordpress是国人搭建个人博客的首选,其地位等同于论坛搭建首选discuz。wordpress以丰富的插件(插件漏洞)闻名,因此攻击者一般会对wordpress来个指纹识别(除去找暴力破解社工后台登陆口的快捷方法)。

2014-12-17 10:05:58

DNS安全防护解决方案
DNS是Internet的重要基础,包括WEB访问、Email服务在内的众多网络服务都和DNS息息相关,DNS的安全直接关系到整个互联网应用能否正常使用。

2010-12-24 12:47:20

七种小技巧助网管提升企业安全防护能力
网络信息安全上越完善就越能助企业在经济方面得到改善.

2009-03-09 11:13:42

云数据安全防护:层层加固
在云计算和大数据为企业带来便利的同时,也带来不可避免的数据安全问题。数据的泄露安全防护体系不健全带来的数据泄露问题不断发生,全球都进入了安全戒备的状态,中国当然也不例外。

2016-07-05 09:53:57

Linux平台安全防护策略
本文主要向大家介绍了Linux系统的一些安全防护的策略,主要的设置方法在文章中介绍的很详细,希望大家多多掌握这方面的知识。

2011-03-23 15:44:50

DNS安全防护解决方案
随着信息化的高速发展,目前的网络安全现状和前几年相比,已经发生了很大的改变。蠕虫、病毒、木马、漏洞攻击、DDoS攻击等威胁互相结合,对网络的稳定运行和应用安全造成了较大的威胁和不良影响。其

2010-12-21 17:17:21

WEB安全防护解决方案
随着我国国民经济和社会信息化进程的全面加快,互联网已经成为人们工作和生活不可或缺的部分。越来越多的政府机关、银行、企事业等单位为了适应社会的发展,树立自身良好的形象,扩大社会影响,提升工作效率,均建立起自己的门户网站。

2011-06-21 09:01:02

智能家居安全防护之固件安全
物联网技术逐渐走向成熟,并在安防、医疗、零售、教育、办公、家居、能源等多个领域得到应用,人们与智能家居之间的联系更加紧密。同时,智能家居作为物联网技术在家庭环境的典型应用,其安全性也越来越受到人们的关注。

2023-06-25 14:50:32

​提升基础软件安全防护能力 UOS主动安全防护计划(UAPP)发布会即将开启
近年来,在信息技术快速发展和市场需求持续放量的双轮驱动下,信息技术应用创新产业取得了长足发展。与此同时,伴随着信息技术体系、标准和生态的重构升级,以操作系统为代表的信息技术应用创新应用产品也面临着全新的安全挑战。

2022-04-11 17:29:00

主动安全网络安全
IP网络攻击及安全防护浅析
全IP承载网络给我们带来了标准化,高带宽,资源共享,网络共享等优点的同时,也给我们带来了新的思考和挑战,本文主要向大家介绍了IP网络攻击及安全防护的相关内容,希望大家能够掌握和理解。

2011-06-07 15:11:14

如何增强物联网的安全防护
物联网带来海量连接、海量数据、海量设备以及海量应用,是区别于和传统安全、互联网安全的最大不同,也带来很大的挑战性。

2021-01-05 18:36:39

物联网安全
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服