快捷搜索:

Silverlight安全性-保护您的Silverlight应用程序的安全

作为一名 Microsoft 办事顾问,我按期与客户和相助伙伴一路进行利用法度榜样安然性评论争论。 在本文中 ,我将先容一些在这些评论争论中提出的主题。 分外是,我将重点先容编程职员在考试测验保护 Silverlight 应 用法度榜样的安然时所面临的新寻衅,而且我将斟酌开拓团队应该将其资本集中于哪些方面。

本文提到了许多技巧观点,您可以在其他位置(包括本杂志)找到这些观点的更多具体信息。 是以, 我就不在技巧层面加倍深入地评论争论这些主题。 本文的目标是“理清头绪”并先容若何使用这些观点保护 您的利用法度榜样的安然。

当筹划利用法度榜样的安然性时,斟酌三个 A 异常有用:身份验证 (Authentication)、授权 (Authorization) 和审核 (Audit)。

身份验证是确认用户身份的行径。 我们平日应用用户名和密码履行此操作。

授权是指在进行身份验证之后,确认用户实际上具有履行特定操作或造访特定资本的适当权限的历程 。

审核是掩护活动记录,以便用户无法回绝对系统履行的操作和哀求的行径。

在 Silverlight 利用法度榜样高低文中,我将重点先容前两项(身份验证和授权)。 因为这是一个富 Internet 利用法度榜样 (RIA),是以本文中描述的大年夜多半观点同样适用于异步 JavaScript 和 XML (AJAX) 或其他 RIA 措施。 我还将评论争论若何防止对您的 Silverlight 利用法度榜样文件进行不需要的造访。

拓扑

Silverlight 是一种跨浏览器插件,其使用 Windows Presentation Foundation (WPF) 率先采纳的许 多图形观点,使 Web 开拓职员能够创建富厚的用户体验,这些用户体验将越过仅应用 HTML 和 JavaScript 创建的体验。

与 ASP.NET 不合的是,Silverlight 是一种客户端技巧,它在用户的谋略机上运行。 是以, Silverlight 开拓无疑与 Windows 窗体或 WPF 有许多合营之处,而与 ASP.NET 的合营之处相对较少。 在许多方面,这是 Silverlight 的最大年夜上风之一,由于它打消了 Web 利用法度榜样的无状态性所导致的许多 问题。 不过,因为所有 UI 代码都是在客户端谋略机上运行的,是以您不能再信托它。

办事

与 Windows 窗体不合的是,Silverlight 在浏览器沙盒内运行且拥有的功能削减,是以它所供给的安 全程度前进(只管在 Silverlight 4 中,用户可以将某些利用法度榜样标识为可托并将法度榜样的权限提升为允 许 COM 互操作)。 正由于如斯,Silverlight 不能直接连接到数据库,您必须创建一个可供给对您的数 据和营业逻辑的造访的办事层。

例如,您平日会将这些办事承载于您的 Web 办事器上,就像应用 ASP.NET Web 窗体一样。 假定 Silverlight 代码运行于办事器与现实天下之间的相信界限的可托度较差的一侧(拜见图 1),您的团队 的事情重点应始终是保护办事的安然。

图 1 Silverlight 运行于相信界限的可托度较差的一侧

您可能还会对下面的文章感兴趣: