ASP.NET セキュリティのしくみ

更新 : 2007 年 11 月

Web サイトのセキュリティ確保は、Web 開発者にとって重要で複雑な問題です。サイトを保護するには慎重な計画が必要で、Web サイトの管理者およびプログラマは、サイトを保護するために設定できる機能を明確に把握しておく必要があります。

Web アプリケーションのセキュリティを確保できるようにするために、ASP.NET を Microsoft .NET Framework および IIS (Microsoft Internet Information Services) と組み合わせて使用します。ASP.NET アプリケーションを保護できるようにするには、次の表で説明する 2 つの基本機能を実行する必要があります。

セキュリティ機能

説明

認証

ユーザーが本人であることの検証を支援します。アプリケーションはユーザーから資格情報 (名前やパスワードなど、各種の形式の識別情報) を取得し、それらの資格情報を証明機関に照会して検証します。資格情報が有効な場合は、その資格情報を送信したエンティティは認証済み ID と見なされます。

承認

認証済み ID に対して特定のアクセス許可を付与または拒否することでアクセス権を制限します。

IIS では、ユーザーのホスト名または IP アドレスに基づいてアクセスを許可または拒否することもできます。これ以上のアクセス承認は、NTFS ファイル アクセス許可の URL 承認で実行されます。

各種のセキュリティ サブシステムがどのように関連しているかを把握しておくことは有用です。ASP.NET は Microsoft .NET Framework に基づいて構築されているため、ASP.NET アプリケーションの開発者も、コード アクセス セキュリティやロール ベースのユーザー アクセス セキュリティなどの .NET Framework のあらゆる組み込みセキュリティ機能にアクセスできます。ASP.NET のセキュリティ機能の詳細については、「ASP.NET コード アクセス セキュリティ」を参照してください。

このセクションの内容

関連するセクション