雲林科技大學 100 學年度 MES 實作課程之投影片

1. 權限管理方式、ASPX 的權限元件
國立雲林科技大學 資訊管理系
陳信宏

2. 權限管理方式 – 討論問題篇(一)
 權限的主體 =>人 vs 程式功能
 某公司情況：每一個群組內分成兩個位階(主管與員
工) 。整個群組有一組預設權限，主管權限=預設權限
+特加權限，員工權限=預設權限。使用者屬於群組，
可以不只一個群組，使用者權限=(群組主管權限 or 群
組員工權限)(n個)+特加權限。
 討論如何設計資料表。
 討論如何設計用來設定權限的功能與畫面。
 討論要執行功能前，如何得到使用者權限的機制。
 討論在Web中，如何防止用直接輸入網址來直接看功能
內容的情況。

3. 權限資料表
功能清單
功能類別群組清單
員工清單
員工群組連結
(由欄位來設定主管
與一般員工)
群組預設功能
群組主管
特加功能
員工
特加功能

4. 權限設定功能
 依照資料表內容，須有以下的功能
 (9010)群組清單設定、(9020)員工清單設定
 (9030)員工群組連結設定
 (9040)功能類別、(9050)功能清單
 (9060)群組預設功能
 (9070)主管特加功能、(9080)員工特加功能
 最後，依員工來查詢其所有權限的功能(未來在每支程
式中)

5. 權限取得
 如何確認使用者身分？
 身分確認後，是一次撈出所有權限？還是要執行特定
功能時，再去查詢？
 一次撈出所有權限的SQL或是程式演算法？
 執行特定功能時，如何查詢是否有此功能的權限？

6. ASP.NET 身分辨識方法(一)
 基本身分辨識方式
 帳號 + 密碼
 密碼相關問題 → 放在Table中，是否要加密？
 加密方法
 對稱性加密(可用同一金鑰加密後，再解密回來) - DES
 非對稱性加密(用公開和私密金鑰來加解密) - RSA
 進階身分辨識方式
 自然人憑證
 生物特徵 → 指紋、面容、聲音、視網膜…

7. ASP.NET 身分辨識方法(二)
 ASP.NET 元件
 工具箱 → 登入 → Login 控制項
 重要屬性
 DestinationPageUrl → 登入成功後的 URL
 FailureAction → 登入失敗後的動作
 RememberMeSet → 『記憶密碼』方塊
 CreateUserUrl → 建立使用者帳號的 URL
 HelpPageUrl → 輔助性說明的 URL
 PasswordRecoveryUrl → 密碼恢復頁面 URL

8. ASP.NET 身分辨識方法(三)
 ASP.NET 元件
 工具箱→登入→ Login 控制項
 重要事件
 Authenticate →當進行身分驗證時，引發的事件，通常
在這兒寫自訂的檢驗程式碼
 LoggingIn →按下【登入】時，進行驗證前
 LoggedIn →按下【登入】時，通過驗證後
 LoginError→登入發生錯誤時

9. ASP.NET 身分辨識方法(五)
 Authenticate 範例程式碼
 ' 在此驗證使用者輸入的帳號與密碼
 Protected Sub lgnMain_Authenticate(ByVal sender As Object, ByVal e As
System.Web.UI.WebControls.AuthenticateEventArgs) Handles lgnMain.Authenticate
 Dim ReturnView As Data.DataView
 Dim Student_ID_Num As Integer
 Dim oMG As New MainGlobal
 ' 如果是學生以學號登入，則其 ID 長度為 8，全部都是數字
 ' sdsStudent 的 Select SQL
 ' SELECT * FROM [Student_Main] WHERE (([Student_ID] = @Student_ID) AND ([Password] =
@Password))
 ' 將使用者輸入的 UserName 和 Password 作為查詢條件
 Me.sdsStudent.SelectParameters("Student_ID").DefaultValue = Me.lgnMain.UserName '
TODO : 要測試 SQL Inject 攻擊
 Me.sdsStudent.SelectParameters("Password").DefaultValue = Me.lgnMain.Password
 ' 對 Student_Main 資料庫進行詢
 ReturnView = Me.sdsStudent.Select(New DataSourceSelectArguments)

10. ASP.NET 身分辨識方法(六)
 Authenticate 範例程式碼
 ' 若沒傳回任何資料，代表輸入的名稱或密碼錯誤
 If (ReturnView.Count = 0) Then
 e.Authenticated = False
 ' 當登入錯誤時，進行記錄
 oMG.WriteMainLog("ERROR", Request.UserHostAddress, Me.lgnMain.UserName, "", Session.SessionID, FUNC_ID + "_"
+ FUNC_NAME + "_" + VERSION_ID, "LogIn", "登入錯誤")
 Else
 ' 紀錄使用者的資料於 SESSION 物件中
 Session.Item("USER_ID") = ReturnView.Item(0).Item("Student_ID").ToString()
 Session.Item("USER_NAME") = ReturnView.Item(0).Item("C_First_Name").ToString()
 Session.Item("USER_TYPE") = "STD"
 e.Authenticated = True
 ' 設定學生的 Session 時間為 15 分鐘
 Session.Timeout = 15
 ' 寫入 Log
 oMG.WriteMainLog("INFO", Request.UserHostAddress, Session.Item("USER_ID").ToString,
Session.Item("USER_NAME"), Session.SessionID, FUNC_ID + "_" + FUNC_NAME + "_" + VERSION_ID, "LogIn", "使用者登入")
 ' 導到原來的頁面去
 FormsAuthentication.RedirectFromLoginPage(ReturnView.Item(0).Item("Email_ID").ToString(), True)

11. 防止直接輸入網址查看內容的方式
 Web.Config的設定
 <system.web>
 <authentication mode="Forms">
 <forms name="MyAuthentication" loginUrl="/MKC/9000_AUTH/Func_9130.aspx" protection="All"
timeout="60" path="/">
 </forms>
 </authentication>
 程式的設定
Protected Sub Page_Load(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.Load
 ' 每支 Web 畫面必須要有這一段，來進行 Login 的驗證 - 2006.12.05 加入
 If (Not User.Identity.IsAuthenticated) Then
 FormsAuthentication.RedirectToLoginPage()
 End If

12. IIS 中的整體物件(一)
 Server – IIS 啟動後建立，可見域為所有的 Application
 Application – 網站上的某個特定程式或服務，可由 IIS
設定各種不同的 Application，而Application物件的生命
週期為此Application啟動到結束，可見域為此
Application
 Session – 一個特定的遠方連線，通常是由 IP/MAC +
瀏覽器類型來分辨，但若是同一個瀏覽器的不同分頁，
會被判斷成同一個Session
 Page – 指目前在瀏覽的頁面

13. IIS 中的整體物件(二)
 Request – 為前端瀏覽器對Page提出[需求]的行為，通
常可由其中看到網址與頁面名稱等資訊
 Response – IIS 對前端 Request 的回應，可自行加入
文字，對網頁程式的除錯很有用
 Cookie – 在前端放入一些特定的資訊，前端以檔案方式
存在，可用來辨識特定的前端，紀錄其行動與資訊。
 整體物件的使用 – 利用(.)來查看所有的Property和
Method