2.1  引言

只有在用户登录并访问站点时，才是对安全Web应用程序的真正测试。初看之下，测试过程看起来非常简单：给用户提供一个注册界面，如果提供了正确的用户名和密码，就让用户进入。但是，Web安全性经常会在许多方面失败。在本章中，我们将讨论这些失败的情况，并且讨论防止这些情况发生的解决方案。

验证（authentication）将确定用户的身份。一旦证明身份是有效的，则授权（或不授权）用户访问Web应用程序中不同功能的权限。ASP.NET有许多超越传统ASP的优点，因为它提供了更为健壮的验证机制，以及实现高级验证和授权情况的工具。

但是，在使用ASP.NET中所有新的验证和授权功能时，程序员仍然容易出现下列许多在过去ASP版本中经常出现的相同错误。本章将重点介绍Web应用程序的验证和授权部分。