可以使用 HTTPModules 保护经典 ASP 应用程序的安全吗？

Question

我有一个经典的 ASP 应用程序，当前使用在 IIS 6 上运行的 ASP.NET 表单身份验证进行保护，问题是我们的目的要求该应用程序使用 Entrust TruePass 实现单点登录安全模型，我相信该模型使用客户端证书。 这可以使用 ASP.NET Http 模块来实现还是必须编写 ISAPI 过滤器？ 还有其他选择吗？

Answer 1

为了触发 HttpModule，您必须让 IIS 将请求发送到 aspnet_isapi.dll，然后发送到常规 asp.dll。 在大多数情况下，如果 .net 中有端点，它不会将请求传递回 IIS，但在 IIS6 中，您可以定义通配符的处理程序，请参阅这篇关于使用表单身份验证保护非 .net 内容的文章 https://web.archive.org/web/20111127051259/http ://www.15seconds.com/issue/070104.htm

所以你要做的就是创建你的模块，在 web.config 中注册并使用它来进行身份验证，只要终点不'不匹配 .net 将处理的任何内容，那么它应该让它返回 IIS 以转到 asp.dll

[上面的链接来自互联网档案馆 2011 年 11 月。文章之前位于 http://www.15seconds.com/issue/070104.htm ]

Answer 2

首先我要声明，我对 HTTPModule 不太了解，但我认为您可以编写自己的 IHttpModule 实现来处理 TruePass。 有关详细信息，请参阅此链接：MSDN HttpModules 。

根据我的经验，在经典 ASP 和 .NET 之间来回切换的最大麻烦是处理会话信息。 .NET 无法读取存储在经典 ASP 会话变量中的内容，反之亦然。 但由于您的 FormsAuthentication 很可能使用 cookie，因此您现在有一种来回切换的方法。

我不确定其他选择。 如果您的业务需求是保留经典的 asp 代码并使用 TruePass，那么我认为您可以使其工作。

希望有帮助。