第1章Web应用程序安全概述
  1．1Web应用程序的安全性
主要包括代码访问安全和基于角色的安全性，共享一下概念；
1安全权限
  代码可以请求相应的权限，.net框架安全系统确定是否允许这样的请求
  运行库根据某些条件来授予代码权限：代码标识的特性，请求的权限和代码的信任程度。
  代码可要求其调用方具有特定的权限。
2类型安全
   是指不可以将原始类型强制的转换成另外一个目标类型，从而对这个转换后的原始类型进行目标类型上定义的操作。
3安全策略
  是一组可配置的规则，公共语言运行库在决定允许代码执行操作时遵循该策略。
4主体
  Windows主体表示windows用户及其角色。一般主体独立于windows用户和角色存在。
  自定义主体可由应用程序以任何方式进行定义，这种类型可以对主体的标识和角色进行扩展。
5身份验证
  检查用户的凭证，并根据用户的权限进行验证，找到主题标识
  常采用Passport机制，操作系统机制和应用程序自定义机制。
6授权
  用来确定是否允许主体执行请求操作的过程。
1.1.1代码访问安全
1．概述
（1）加载前，如果代码拥有特定的数字签名，可给予代码特殊权限。
（2）加载前，除非控件拥有受信任的签名，否则运行库授予控件与LocalIntranet命令名权限集关联的权限
（3）运行时，每当调用方访问公开受保护资源的库或调用非托管代码的库时，对调用方权限进行检查
2基础知识
编写类型安全代码：若要使代码受益于代码访问安全性，必须使用生成可验证为类型安全代码的编译器。
强制性语法和声明式语法：与运行库安全系统的交互使用强制性安全调用和声明式安全调用执行
为代码请求权限：请求将应用到程序级范围代码通知运行库在此范围内运行它所需的权限，运行库在代码加载到内存时计算安全请求。
使用安全类库：类库使用代码访问安全性制定所需的权限。
3通过部分受信任的代码使用类库
4编写安全类库
5编写安全托管控件
  托管控件是指下载到用户计算机的网页所引用的程序集，这些程序集根据需要执行。
默认安全策略下运行的控件和需要更高信任度的控件。
6创建自定义代码访问权限类

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！