meilleure façon de sécuriser le dossier du site ASP 3.0

Question

J'ai demandé de corriger le problème de connexion sur le site asp classique. Configuration est 2008 serveur et IIS 7.0 J'ai trouvé que le répertoire admin du site a une authentification de base, mais il n'y a aucun compte NT pour le nom de connexion demandé. Je ne veux pas créer de compte Windows pour ce site et je sais que l'authentification de base n'est pas sécurisée (le site n'utilise pas ssl). Quelle est la meilleure façon de résoudre ce problème? Est-il possible d'utiliser la sécurité asp.net pour le site asp 3.0?

Answer 1

Vous devez utiliser SSL.

Sans SSL, l'authentification ASP.Net WebForms n'est pas meilleure que l'authentification HTTP de base.

Pour répondre à la question, oui; vous pouvez le configurer dans l'administrateur IIS.

Answer 2

Je pense qu'il est préférable d'utiliser WebForms auth dans tous les cas. C'est plus facile que je pensais. Je viens d'ajouter la page login.aspx et le fichier de configuration au site asp classique et l'authentification fonctionne. Juste un avis que par défaut les pages htm et asp ne sont pas traitées par asp.net. Il est nécessaire d'ajouter le noeud suivant dans la configuration.

<system.webServer> 
    <modules runAllManagedModulesForAllRequests="true" /> 
</system.webServer> 

Et j'ai trouvé que les nœuds d'autorisation doivent être dans le nœud du serveur web dans IIS7.

Voici la configuration complète au cas où cela serait utile pour quelqu'un.

<configuration> 
    <location path="admin"> 
     <system.webServer> 
      <security> 
       <authorization> 
        <add accessType="Deny" users="?" /> 
       </authorization> 
      </security> 
     </system.webServer> 
    </location> 
    <system.web> 
     <authentication mode="Forms"> 
      <forms loginUrl="login.aspx"> 
      </forms> 
     </authentication> 
    </system.web> 
    <system.webServer> 
     <modules runAllManagedModulesForAllRequests="true" /> 
    </system.webServer> 
</configuration>