Мировые информационные ресурсы Презентации к курсу лекций Блог:

Вложенные мастер-страницы слайд 1/3 • Мастер-страницы можно вкладывать так, чтобы одна мастер-страница использова ла другую мастер-страницу. • Например, веб-сайт может содержать два раздела. Для каждого раздела могут понадобиться собственные элементы управления навигацией. Каждому из разделов необходим один и тот же верхний колон титул. В этой ситуации можно создать мастер-страницу верхнего уровня, добавляющую верхний колонтитул. Например:

Вложенные мастер-страницы слайд 2/3 • После этого можно создать вторую мастер-страницу, которая будет использовать первую мастер-страницу (через атрибут Master. Page. File ). Вторая мастер-страница получит верхний колонтитул от первой мастер-страницы и может добавить элементы управления навигации в панель в левой части окна. Например :

Вложенные мастер-страницы слайд 3/3 • Не исключено, что может понадобиться создать нескольких версий второй мас тер-страницы — по одной для каждого раздела веб-сайта. Эти версии должны были бы получать один и тот же стандартный заголовок. И, наконец, каждая страница содержи мого может использовать одну из мастер-страниц второго уровня для стандартизации своей компоновки: This is the nested content! Уровней вложенности мастер-страниц может быть столько, сколько необходимо. Однако такой может доставить больше хлопот, чем кажется на первый взгляд. Например, иерархию мастер-страниц придется переработать, если впоследствии окажется, что два раздела веб-сайта нуждаются в аналогичных, но слегка отличающихся друг от друга верхних колонтитулах. Поэтому целесообразно применять только один уровень мастер-страниц и копировать несколько общих элементов.

Основы безопасности ASP. NET • Безопасность — важнейшая часть веб-приложений, и она должна приниматься во внимание с первого этапа процесса разработки. По сути, безопасность — это все, что касается защиты разработанного программного продукта от неавторизованных действий. И для ее обес печения используется несколько механизмов, включая идентификацию пользователей, выдачу или отзыв прав доступа к важным ресурсам, а также защиту информации, хра нящейся на сервере и передающейся по сети. Во всех этих случаях необходима некая фундаментальная платформа, обеспечивающая базовую функциональность безопасно сти. ASP. NET удовлетворяет эту потребность благодаря встроенным средствам, которые можно применять для обеспечения защиты своих приложений. • Платформа безопасности ASP. NET включает классы для аутентификации и авториза ции пользователей, а также для обращения с аутентифицированными пользователями в приложениях. Она также включает высокоуровневую модель для управления пользо вателями и ролями, как программно, так и с помощью инструментов администрирова ния. Более того, платформа. NET Framework сама по себе предоставляет набор базовых классов для обеспечения конфиденциальности и целостности через шифрование и циф ровые подписи.

Понятие потенциальных угроз • Создание безопасной архитектуры и проектного решения требует глубокого пони мания среды приложения. Построить безопасное программное обеспечение не удастся, если не известно, кто имеет доступ к приложению и где находятся уязвимые места для атак. Таким образом, наиболее важный фактор для создания безопасной программной архитектуры и проектного решения заключается в хорошем понимании таких факторов среды, как пользователи, точки входа и потенциальные угрозы с точками для атаки. • Именно поэтому моделирование угроз становится все более важным в современном процессе разработки программного обеспечения. Моделирование угроз — это структу рированный способ анализа среды приложения с точки зрения возможных опасностей, классификация угроз и решение относительно приемов их смягчения. При таком подхо де решения относительно технологий безопасности (таких как аутентификация и SSL — шифрование) всегда имеет действительное основание — потенциальную угрозу. • Однако моделирование угроз важно по еще одной причине. Как известно, не все потенциальные угрозы могут быть смягчены применением технологий защиты, такими как аутентификация и авторизация. Другими словами, некоторые из них вооб ще невозможно разрешить технически. Например, банковское онлайновое решение мо жет использовать SSL для защиты трафика веб-сайта. Но как пользователи могут знать, что они действительно используют банковскую страницу, а не хакерский поддельный веб-сайт? Хорошо, единственный способ убедиться в этом — проверить сертификат, ис пользуемый для установки канала SSL. Но пользователи должны быть предупреждены об этом, а потому их каким-либо образом необходимо информировать. Поэтому «техника смягчения» угроз — это не только технологии защиты. Это включает требование того, чтобы все пользователи знали, как проверить сертификат. Моделирование угроз — метод анализа, помогающий выявить обстоятельства вроде этих, а не только факторы техни ческого порядка. Тема моделирования угроз является очень обширной и выходит за рамки данного учебного пособия.

Правила безопасного кодирования • Никогда не доверяйте пользовательскому вводу. Предполагается, что каждый пользователь является злоумышленником, пока он не докажет обратное. Таким образом, необходимо всегда строго проверять пользовательский ввод. • Никогда не используйте конкатенацию строк для формирования операторов SQL. Необходимо всегда использовать параметризованные операторы, чтобы приложение не было уязвимо для атак внедрением SQL. • Никогда не выводите данные, введенные пользователем, на веб-страницу перед их проверкой и кодированием. Пользователь может ввести некоторые фрагменты кода HTML (например, сценарии), которые инициируют межсайтовую сценарную уязвимость. • Никогда не размещайте важные данные, критичную для бизнеса информацию либо данные, касающиеся внутренних правил безопасности, в скрытых полях веб-страницы. Скрытые поля могут быть легко изменены простым просмотром исходного кода веб-страницы, модификацией и сохранением в файле. • Никогда не сохраняйте важные или критичные для бизнеса данные в состоянии представления. С остояние представления — это просто еще одно скрытое поле на веб-странице, и оно может быть легко декодировано и просмотрено. Шифрование состояния представления помогает защитить информа цию, ценную только в течение ограниченного интервала времени, но следует помнить, что даже шифрованные данные однажды могут быть взломаны, если у зло умышленника есть достаточно времени, ресурсов и мотивации. • Включайте SSL при использовании базовой аутентификации или аутен тификации с помощью форм ASP. NET. • Защищайте cookie-наборы. Всегда защищайте cookie -наборы аутенти фикации при использовании аутентификации с помощью форм и устанавливайте таймауты насколько возможно короткими, и не длиннее, чем это действительно необходимо. • Применяйте SSL. В общем случае, если веб-приложение обрабатывает важные данные, защищайте весь веб-сайт с помощью SSL.

Понятие стража • Хороший способ повысить степень безопасности приложения — размещать компо ненты в таком месте, которое требует защиты. Концептуальный шаблон стража ( gate keeper ) применяет модель конвейера к организации инфраструктуры безопасности. Эта модель помогает укрепить безопасность. • Модель стражей предполагает, что безопасное приложение всегда имеет больше ме ханизмов защиты, чем это необходимо. Каждый из этих механизмов реализован в виде стража, отвечающего за проверку некоторых условий защиты. Если один из таких стра жей не сработает, то атакующий столкнется со следующим стражем в конвейере. И чем больше стражей имеется в разрабатываемом приложении, тем труднее приходится злоумышлен нику. На самом деле эта модель отвечает ключевому принципу создания безопасных приложений: обеспечивать насколько возможно высокую степень защиты и создавать максимум проблем нарушителям.

Уровни безопасности В основном для большей части веб-приложений основные задачи для реализации защиты (помимо идентифицированных во время моделирования угроз) всегда одни и те же. • Аутентификация. Прежде всего, необходимо аутентифицировать пользователей. Аутентификация задает вопрос: кто идет? В конечном итоге она определяет, кто работает с вашим приложением на другой стороне. • Авторизация отвечает на вопрос: каков уро вень допуска? • Конфиденциальность. Когда пользователь работает с приложением, необходимо гарантировать, что никто другой не сможет видеть важные данные, которые он обрабатывает. • Целостность. Необходимо гарантировать, что данные, передаваемые между клиентом и сервером, не изменяются в результате неавторизованного вме шательства.

Аутентификация • Аутентификация — процесс определения идентичности пользователя и обеспече ния гарантий этой идентичности. Процесс аутентификации аналогичен регистрации участников конференции. Во-первых, участник предъявляет некоторое свидетельство, до казывающее его идентичность (вроде паспорта или водительских прав). Во-вторых, как только идентичность проверена по этой информации, он получает личный значок участника конференции, или маркер , который постоянно носит с собой на протяже нии всей конференции. Любой, кто встретит его на конференции, сможет легко опреде лить его идентичность, взглянув на этот значок, который обычно содержит базовую идентифицирующую информацию, такую как имя и фамилия. Весь этот процесс — пример аутентификации. Как только идентичность установлена, маркер подтверждает ее везде в пределах конкретной области, личность владельца маркера будет известной.

Системы аутентификации В приложениях ASP. NET аутентификация реализуется одной из следующих возмож ных аутентифицирующих систем: • аутентификация Windows ; • аутентификация с помощью форм; • Аутентификация при помощи паспорта; • специальный процесс аутентификации. В каждом случае пользователь предъявляет некоторое удостоверение при регистра ции в системе. Идентичность пользователя отслеживается разными способами, в зави симости от типа аутентификации.

Заимствование прав • Заимствование прав ( impersonation ) — это процесс выполнения кода в контексте (или от имени) другого пользователя. По умолчанию код ASP. NET выполняется от име ни фиксированной, специфичной для конкретной машины, пользовательской учетной записи (обычно Network Service в IIS 7. x). Чтобы выполнить код с применением другой идентичности, можно воспользоваться встроенными в ASP. NET ВОЗМОЖНОСТЯМИ заимст вования прав. Можно применить предопределенную пользовательскую учетную запись либо предположить пользовательскую идентичность, если этот пользователь уже был аутентифицирован посредством учетной записи Windows. • Одна из причин, по которым может применяться заимствование, состоит в воз можности использования существующих учетных записей Windows с их привилегиями. Например, рассмотрим приложение, которое извлекает информацию из различ ных файлов, уже имеющих специфические для пользователей или групп наборы прав. Вместо того чтобы кодировать логику авторизации в своем приложении ASP. NET , можно воспользоваться заимствованием, полагаясь на идентичность конечного пользователя. Таким образом, Windows может выполнить авторизацию за пользователя, проверяя привилегии при попытке обратиться к файлу. Можно даже включать заимствование только на крат кий период времени вместо полного запроса.

Авторизация • Авторизация — это процесс определения прав и ограничений, назначенных аутентифицированному пользователю. В зависимости от идентифицирующей информации, доступ к запрашиваемым ресурсам либо открывает ся, либо закрывается. • Пример с конференцией представляет собой случай авторизации на основе ролей — когда авторизация определяется правами группы, к которой принадлежит пользова тель, а не на том, кто он такой. Во многих случая авторизация на основе ро лей предпочтительнее, поскольку ее гораздо легче реализовать.

Конфиденциальность и целостность слайд 1/2 • Конфиденциальность означает обеспечение невидимости данных для неавторизо ванных пользователей во время передачи их по сети или сохранении в хранилищах, таких как базы данных. Целостность — это обеспечение невозможности изменения данных никем во время передачи по сети или сохранения в хранилище. И то, и другое основано на шифровании. • Шифрование — процесс кодирования данных, делающий невозможным их чтение другими пользователями. Шифрование в ASP. NET является средством, полностью отде ленным от аутентификации, авторизации и заимствования прав. Его можно применять в комбинации с этими средствами либо самостоятельно.

Конфиденциальность и целостность слайд 2/2 • Как упоминалось ранее, шифровать веб-приложения может требоваться по двум причинам. • Для защиты коммуникаций (передачи данных через сеть). Например, необходимо сделать невозможной кражу номеров кредитных карт, используемых в системе электронной коммерции, по открытым каналам Интернета. Стандартный подход к решению этой проблемы предусматривает применение SSL. Кроме того, SSL реализует цифровые подписи для обеспечения гарантии целостности. SSL не реа лизован ASP. NET , а является средством, предоставляемым IIS. Код веб-страницы (или веб-службы) не зависит от того, используется SSL или нет. • Для защиты постоянной информации (в базе данных или в файле). Например, мо жет понадобиться сохранить номер кредитной карты пользователя в базе данных для будущего использования. Хранение таких данных в виде простого текста в надежде на то, что веб-сервер не будет взломан – не самая удачная идея. Вместо этого следует применять классы шифрования, которые предлагает. NET , и вруч ную шифровать данные перед их сохранением.

Процесс аутентификации 1. Запрос отправляется веб-серверу. Поскольку идентичность пользователя в этот мо мент не известна, ему предлагается зарегистрироваться с использованием специ альной веб-страницы или диалогового окна регистрации браузера. Специфические детали процесса регистрации зависят от типа применяемой аутентификации. 2. Пользователь предоставляет свое удостоверение, которое затем верифицирует ся — либо приложением (в случае аутентификации с помощью форм), либо автоматически средствами IIS (в случае аутентификации Windows ). 3. Если удостоверение пользователя подтверждается, ему предоставляется доступ к веб-странице. Если же оно оценивается как нелегитимное, ему предлагается по вторить попытку регистрации, либо же выполняется переадресация на страницу с сообщением о закрытии доступа.

Процесс аутентификации и авторизации 1. Запрос отправляется веб-серверу. Поскольку идентичность пользователя в этот мо мент не известна, ему предлагается зарегистрироваться с использованием специ альной веб-страницы или диалогового окна регистрации браузера. Специфические детали процесса регистрации зависят от типа применяемой аутентификации. 2. Пользователь предъявляет свое удостоверение, которое проверяется приложени ем. Это стадия аутентификации. 3. Удостоверение или роли аутентифицированного пользователя сравниваются со спи ском разрешенных пользователей и ролей. Если пользователь присутствует в спи ске, ему открывается доступ к ресурсу; в противном случае доступ будет закрыт. 4. Пользователи, которым отказано в доступе, либо приглашаются на повторную ре гистрацию, либо перенаправляются на веб-страницу с сообщением о закрытии доступа.

Понятие SSL • Технология SSL ( Secure Sockets Layer — уровень защищенных сокетов) позволяет шифровать коммуникации через HTTP. Протокол SSL поддерживается широким крутом браузеров и гарантирует, что передача информации между клиентом и веб-сервером не может быть расшифрована злоумышленниками. SSL необходим для сокрытия важной информации, такой как номера кредитных карт и конфиденциальные сведения внут реннего характера, но также важен и для аутентификации пользователей. Например, если создается страница регистрации, на которой пользователь отправляет свое имя и пароль, то необходимо применять SSL для шифрования этой информации. В противном случае злоумышленник сможет перехватить удостоверение пользователя и воспользо ваться им для проникновения в систему. • Веб-сервер IIS предоставляет SSL как встроенную, готовую к использованию службу. Поскольку SSL работает под HTTP , его применение не изменяет способа работы с HTTP — запросами. Все шифрование и дешифрацию берут на себя функциональные средства SSL программного обеспечения веб-сервера (в данном случае — IIS ). Единственное от личие состоит в том, что адрес, защищенный SSL , начинается с https : //, а не http : //. Трафик SSL также проходит через другой порт (обычно веб-серверы используют порт 443 для SSL -запросов и порт 80 — для обычных запросов).

Понятие сертификата • Прежде чем пересылать важные данные, клиент должен решить, можно ли доверять веб-сайту. Для этой достижения этой цели были спроектированы сертификаты, кото рые позволяют частично верифицировать идентичность пользователя. Сертификаты могут быть установлены на компьютере любого типа, но обычно они находятся на веб-серверах. • Организация приобретает сертификат у известного центра сертификации ( Certificate Authority — СА) и устанавливает его на своем веб-сервере. Клиент доверяет СА и потому готов доверять информации сертификата, подписанного СА. Эта модель работает дос таточно хорошо, т. к. маловероятно, чтобы злоумышленник решился на дополнительные расходы по приобретению и установке фальсифицированного сертификата. Центр сер тификации также сохраняет информацию о каждом зарегистрированном пользовате ле. Однако наличие сертификата никоим образом не гарантирует надежность сервера, безопасность приложения или легитимность бизнеса. В этом смысле область действия сертификатов фундаментально ограничена.

Содержимое сертификата Сам по себе сертификат содержит некоторую идентифицирующую информацию. Он подписывается защищенным ключом СА, что гарантирует его аутентичность и от сутствие модификаций. Промышленный стандартный сертификат, соответствующий x. 509 v 3, включает следующую базовую информацию: • имя, название организации и адрес держателя; • открытый ключ держателя, который будет использоваться для реализации ключа SSL -сеансов для шифрования коммуникаций; • даты проверки сертификата; • серийный номер сертификата. • В дополнение сертификат также может включать специфичную для бизнеса инфор мацию, такую как отрасль промышленности держателя, длительность присутствия его на рынке и т. п. Двумя крупнейшими центрами сертификации являются: • Thawte — http: //www. thawte. com • Veri. Sign — http: //www. verisign. com Если функция проверки идентичности СА не нужна (например, если сертификаты используются только в корпоративной сети), можно создать и пользоваться собствен ными сертификатами, настроив всех клиентов на доверие к ним. Для этого потребуется служба Active Directory и сервер Certificate Server , встроенные в серверную опера ционную систему Windows.

Аутентификация форм • Аутентификация с помощью форм — это система аутентификации общего назна чения, основанная на двух концепциях. Первая из них — страница входа ( login page ), которая может удостоверить действительность пользователей (обычно сверяя комбина цию имени и пароля с базой данных или другим хранилищем данных). Вторая — это механизм предохранения и восстановления контекста безопасности при каждом запро се (обычно с применением cookie -н a б opa ). Таким образом, пользователю понадобится войти только один раз. • ASP. NET включает всю необходимую инфраструкту ру. Посредством аутентификации с помощью форм платформа ASP. NET создает cookie — набор безопасности для зарегистрированных пользователей, обслуживает их и автома тически поддерживает контекст безопасности для последующих запросов. Лучше всего то, что она управляет этим процессом эффективно и в высшей степени устойчиво про тивостоит подделкам.

Использование аутентификации форм • Когда пользователь запрашивает страницу ASP. NET , которая не доступна аноним ным пользователям, исполняющая среда ASP. NET проверяет, имеется ли билет аутен тификации с помощью форм. Если нет, производится автоматическая переадресация на страницу входа. С этого момента начинается работа разработчика. Он должен создать эту страницу входа и внутри нее проверить пользовательское удостоверение. Если пользо ватель успешно прошел проверку, достаточно просто сообщить инфраструктуре ASP. NET об ус пехе операции (вызвав метод класса Forms. Authentication ), после чего исполняющая среда автоматически устанавливает cookie -набор аутентификации (который в действи тельности содержит билет) и переадресует пользователя на запрошенную им страницу. С этим запросом исполняющая среда определяет, что cookie — Ha 6 op аутентификации с билетом имеется в наличии и открывает доступ к странице. Все, что понадобится сделать — это настроить аутентификацию с помощью форм в файле web. config , создать страницу входа и проверить внутри нее удостовере ние пользователя.

Преимущества аутентификации форм • Разработчик получает полный контроль над кодом аутентификации. Поскольку аутентификация с помощью форм реализована полностью внутри ASP. NET , разработчик получает полный контроль над выполнением аутентификации. Ему не нужно полагаться ни на какую внешнюю систему, как это имеет место при аутенти фикации Windows. Поведение аутентификации с помощью форм можно настроить под собственные нужды. • Разработчик получает полный контроль над внешним видом формы входа. Разработчик имеет ту же степень контроля над внешним видом аутентификации с помощью форм, что и над ее функциональностью. Другими словами, входную страницу входа можно оформлять как угодно. Однако если нет желания заниматься этим, можно воспользоваться высокоуровневым API -интерфейсом членства ( Membership API ) и эле ментами управления безопасностью ASP. NET. В число этих элементов управления вхо дит готовый к использованию и в высокой степени настраиваемый элемент управления Login. • Она работает с любым браузером. Аутентификация с помощью форм использует в качестве пользовательского интер фейса стандартный HTML , поэтому все браузеры могут его обработать. Поскольку форму входа можно форматировать произвольным образом, аутентификация с помощью форм применяется даже в браузерах, которые не используют HTML — например, в мобильных устройствах. Для этого понадобится определить используемый браузер и предоставить форму в подходящем формате для данного устройства (таком как WML для мобильных телефонов). • Для ввода и отправки пользовательского удостоверения аутентификация с помощью форм использует стандартные формы HTML. Это значит, что для шифрования и безопасной пе редачи этого удостоверения нужно применять SSL. В противном случае при обратной отправке данных на сервер информация передается как простой текст. • Она позволяет выбирать способ хранения информации о пользователях. Гкбкость в хранении информации о пользователях также означает возможность кон троля над созданием и администрированием пользовательских учетных записей, а также присоединения дополнительной информации к этим учетным записям, такой как персо нальные предпочтения по настройке внешнего вида веб-сайта.

Недостатки аутентификации форм • Разработчик должен самостоятельно создавать пользовательский интерфейс для регист рации пользователей. Можно либо целиком создать собственную страницу входа, либо использовать элементы управления безопасностью ASP. NET. • Разработчик должен поддерживать каталог удостоверений пользователей. • Разработчик должен предпринимать дополнительные предосторожности против вмеша тельства в сетевой трафик. • Первые два недостатка можно устранить за счет применения интерфейса Membership API , предоставляющего предварительно разработанные элементы управления и схему хранения удостоверений с готовым решением на основе SQL Server.

Классы аутентификации форм слайд 1/2 • Наиболее важная часть платформы аутентификации с помощью форм — Forms. Authentication. Module. Это класс Http. Module , который обнаруживает билеты аутентификации с помощью форм, присутствующие в запросе. Если такой билет не доступен, а пользователь запросил защищенный ресурс, то запрос автоматически пе ренаправляется на страницу входа, указанную в файле web. config , еще до того, как исполняющая среда даже просто коснется этого защищенного ресурса. • Если билет присутствует, модуль автоматически создает контекст безопасности, инициализируя свойство Http. Context. Current. User экземпляром Generic. Principal по умолчанию, который включает экземпляр Forms Identity с именем текущего заре гистрированного пользователя.

Классы аутентификации форм слайд 2/2 Имя класса Описание Forms. Authentication Основной класс для взаимодействия с инфраструктурой ау тентификации с помощью форм. Он предоставляет базовую информацию о конфигурации и позволяет создавать билет, устанавливать соо ki е-наборы и перенаправлять со стра ницы входа на исходную запрошенную страницу в случае успешной проверки удостоверения пользователя Forms. Authentication. Event. Args инициирует событие Authenticate, которое можно перехватить. Соглашения о передаваемых аргументах события инкапсулируются в эк земпляре этого класса. Содержит базовую информацию об аутентифицированном пользователе Forms. Authentication. Ticket Этот класс предоставляет информацию о пользователе, которая будет зашифрована и помещена в cookie -набор аутентификации Forms I dentity Этот класс реализует интерфейс IIdentity и являет ся специфичным для аутентификации с помощью форм. Ключевым дополнением класса Formsldentity , кро ме членов, необходимых для реализации интерфейса IIdentity , является свойство Ticket , представляющее билет аутентификации. Forms. Authentication. Module Ядро инфраструктуры аутентификации с помощью форм, устанавливающее контекст безопасности и выполняющее при необходимости автоматическое перенаправление на страницу входа

Реализация аутентификации форм 1. Сконфигурировать аутентификацию с помощью форм в файле web. config. 2. Настроить IIS для разрешения анонимного доступа к виртуальному каталогу, а также сконфигурировать ASP. NET для ограничения анонимного доступа к веб- приложению. 3. Создать собственную страницу входа, которая будет принимать и проверять имя и пароль пользователя, а затем взаимодействовать с инфраструктурой аутенти фикации с помощью форм для создания билета.

Конфигурирование аутентификации • Разработчик должен надлежащим образом сконфигурировать аутентификацию с помощью форм в файле web. config. Выше, что каждый файл web. config включает раздел конфигурации . Аутентификация с помощью форм будет работать, если в этом разделе указать для атрибута mode значение Forms : • Конфигурация ограничена только файлом web. config высшего уровня приложения. Если атрибут mode установлен в Forms , то ASP. NET загружает и активизирует модуль Forms. Authentication. Module , который выполнит большую часть работы. • В основном используются установки по умолчанию для аутентификации с помощью форм, которые жестко закодированы в ис полняющей среде ASP. NET. Чтобы переопределить эти настройки, следует добавить установки в раздел файла machine. config. Эти настройки можно переопределить в приложении, добавив свои установки в дочерний дескриптор этого раздела. 208

Опции аутентификации слайд 1/2 Опция Значение по умолчанию Описание name. ASPXAUTH Имя cookie -набора HTTP для использования в аутентификации (по умолчанию . ASPXAUTH). Если множество приложений работают на одном веб-сервере, каждому соо. Ие-набору безопасности каждого приложения должно быть назначено уникальное имя login. Url login. aspx Определяет, на какую страницу должен быть перенаправлен пользователь, чтобы войти в приложение. Это может быть страница в корневой папке приложения или же в каком- то подкаталоге timeout 30 Период времени в минутах действительно сти cookie -набора. ASP. NET обновит cookie — набор приеме запроса, когда истечет половина времени действия cookie -набора. sliding. Expiration false Этот атрибут включает и отключает сколь зящее устаревание cookie -наборов аутен тификации. При включении устаревание cookie -наборов будет сбрасываться испол няющей средой при каждом запросе стра ницы пользователем. Это значит, что каж дый запрос будет продолжать время жизни cookie -набора cookieless Use. Device. Profile Позволяет указать, должна ли исполняю щая среда использовать соо. Ие-наборы для отправки билетов аутентификации с помо щью форм клиенту. Возможные варианты: Auto. Detect, Use. Cookies, Use. Uri и Use. Device. Profile. protection All Позволяет указать уровень безопасности cookie -наборов аутентификации. Опция All шифрует и подписывает аутен- тифицирующие cookie -наборы. Другими возможными значениями являются None , Encryption (только шифрование) и Validation (только подпись)

Опции аутентификации слайд 2/2 require. SSL false Если установлено в true , это свойство дает тот эффект, что браузер просто не передает cookie -набор, если SSL не включен на веб сервере. Таким образом, аутентификация с помощью форм работать не будет, если SSL не активизирован на веб-сервере enable. Cross. App. Redirects false Разрешает переадресацию между разными приложениями на сервере при использо вании аутентификации с помощью форм. Конечно, это имеет смысл, только если оба приложения полагаются на одно и то же хранилище удостоверений и используют одинаковый набор пользователей и ролей default. Url Default. aspx Если Forms. Authentication. Module перенаправляет запрос от пользователя на страницу входа, то включает исходную за прошенную страницу при ее вызове. Таким образом, когда страница входа вернет управ ление, модуль сможет использовать этот URL для перенаправления на исходную запро шенную страницу после успешной проверки удостоверения пользователя. domain Указывает домен, для которого соо ki е-набор является допустимым. Переопределение это го свойства полезно, когда необходимо раз решить использование cookie -наборов для других приложений на веб-сервере path / Путь для cookie -наборов, указанный прило жением. Рекомендуется применять значение по умолчанию (/), поскольку это предотвра щает несовпадение регистра символов при пересылке в запросе

Хранение удостоверений в web. config • При использовании аутентификации с помощью форм существует выбор, где хра нить удостоверения пользователей. Их можно хранить в определенном файле или в базе данных; в принципе хранить их можно где угодно, если предусмотрен код для проверки имени и пароля пользователя, вводимых на странице входа, по значениям, находящим ся в хранилище. Проще всего хранить удостоверения пользователей непосредственно в файле web. config , в подэлементе конфигурационного дескриптора :

Закрытие доступа анонимным пользователям • Для использования аутентификации ограничивать доступ к страницам не обязательно. Аутентификацию можно применять только для целей персонализации, так что анонимные пользователи будут видеть те же страницы, что и аутентифицированные пользователи, но в персонализированном виде. Однако для демонстрации функциональности переадресации при аутентификации с помощью форм полезно разработать пример, закрывающий доступ анонимным пользователям. Это заставит ASP. NET перенаправлять анонимных пользователей на страницу входа. • Для этого используем про стую технику запрета доступа всем пользователям, не прошедшим аутентификацию. Для этого необходимо добавить новое правило авторизации к элементу в файле web. config :

Специальная страница входа

Событие страницы входа protected void Login. Action_Click(object sender, Event. Args e) { Page. Validate(); if (!Page. Is. Valid) return; if (this. My. Authenticate(Username. Text, Password. Text)) { Forms. Authentication. Redirect. From. Login. Page(Username. Text, false); } else { Legend. Status. Text = «Invalid username or password!»; } }

Выход пользователя из аутентификации с помощью формы сводится к простому вызову метода Forms. Authentication. Sign. Out (). Можно создать кнопку выхода и добавить в обработчик щелчка на ней следующий код: protected void Sign. Out. Action_Click(object sender, Event. Args e) { Forms. Authentication. Sign. Out(); Forms. Authentication. Redirect. To. Login. Page(); }

Специальное хранилище удостоверений Хранилище удостоверений в web. config подходит толь ко для простейших сценариев. Отказаться от использования web. config в качестве хранилища удостоверений можно по нескольким причинам. • Потенциальная нехватка защищенности. Несмотря на то, что пользователи не име ют возможности напрямую запрашивать файл web. config , предпочтение все-таки может быть отдано хранилищу с более эффективной защитой. • Отсутствие поддержки добавления специфичной для пользователя информации. Например, может понадобиться сохранять такую информацию, как адреса, номе ра кредитных карт, персональные предпочтения и т. п. • Низкая производительность при большом количестве пользователей. web. config — это всего лишь файл, и он не поддерживает эффективное кэширование и многопользовательский доступ, присущий базам данных. Более того, после ка ждого изменения файла web. config перезапускается Http. Application , что при водит к утере всех доменов приложений, состояний сеанса и т. д. Восстановление всего этого влияет на производительность. Таким образом, в большинстве приложений рекомендуется применять собственные хра нилища имен и паролей пользователей, и большей частью они будут находиться в ба зах данных вроде SQL Server. ASP. NET предлагает готовую к использованию инфраструктуру, а так же полный набор элементов управления, связанных с безопасностью. Платформа Membership API включает хранилище данных на основе SQL Server , в которое записы ваются пользователи и роли, а также функции для проверки имен и паролей, без необ ходимости знания подробностей устройства лежащей в основе базы данных. Она также включает элементы управления безопасностью, такие как готовый элемент Login , основанный на использовании Membership API.

Членство и Membership API • Аутентификация с помощью форм закладывает важный фунда мент реализации безопасных пользовательских форм входа для ваших приложе ний ASP. NET. С другой стороны, задачи, которые приходится решать разработчику в процессе создания форм входа и взаимодействия с лежащим в основе хранилищем удостовере ний, почти всегда одни и те же для каждого веб-приложения, и они достаточно утоми тельны. Следует иметь в виду и еще один момент: аутентификация с помощью форм предоставляет инфраструктуру только для аутентификации пользователей. В случае применения собственного хранилища удостоверений придется писать административ ные приложения для управления пользователями, в которых должна быть реализована функциональность добавления пользователей, удаления пользователей, сброса паролей и т. п. Реализация этой функциональности очень похожа во всех веб-приложениях и по тому быстро надоедает. • Для преодоления этой проблемы в ASP. NET 2. 0 было добавлено средство под назва нием Membership API (API-интерфейс членства), которое в ASP. NET 4, по сути, осталось без изменений. Интерфейс Membership API — это платформа, построенная на основе существующей инфраструктуры аутентификации с помощью форм. При использовании Membership API даже не понадобится реализовывать страницы входа или хранилища удостоверений.

Возможности Membership API Платформа Membership API предоставляет полный набор готовых функций управле ния пользователями. • Возможность создавать и удалять пользователей. • Возможность переустановки паролей с автоматической отправкой пользователям новых паролей по электронной почте. • Возможность автоматической генерации паролей для пользователей, если поль зователи создаются автоматически в фоновом режиме. • Возможность нахождения пользователей в лежащем в основе хранилище данных, а также извлечения списков пользователей и подробной информации о каждом их них. • Набор предварительно разработанных элементов управления для создания стра ниц входа и регистрации, а также для отображения состояния входа в различ ных представлениях для аутентифицированных и не аутентифицированных пользователей. • Уровень абстракции, который обеспечивает независимость приложений от кон кретного лежащего в основе хранилища данных через классы поставщиков член ства.

Архитектура Membership API

Классы Membership API 220 Компонент Описание Membership Класс Membership — центральная точка взаи модействия с Membership API. Он предоставляет ряд методов для управления пользователями, их проверки и переустановки паролей Membership. Create. User. Exception Исключение, генерируемое в случае возникнове ния ошибки при попытке создания пользователя классом Membership. User Представляет отдельного пользователя, записан ного в хранилище данных Membership API. Этот объект содержит всю информацию о пользователе и возвращается несколькими методами класса Membership, например, Get. User() Membership. User. Collection Коллекция пользователей Membership. Например, метод Get. Users класса Membership возвращает экземпляр этой коллекции Membership. Provider Базовый класс, от которого наследуются собст венные классы поставщиков членства, которые аутентифицируют пользователей по специальному хранилищу удостоверений Membership. Provider. Collection Коллекция доступных поставщиков членства на машине для данного веб-приложения Sql. Membership. Provider Реализация класса Membership. Provider, работающая с базами данных SQL Server Active. Directory. Membership. Provider Реализация класса Membership. Provider, работающая со службой Active Directory Active. Directory. Membership. User Класс, который наследует всю функциональность Membership. User и добавляет некоторые специ фичные для Active Directory свойства

Использование Membership API Прежде чем можно будет использовать интерфейс Membership API и элементы управ ления безопасностью ASP. NET, потребуется выполнить несколько шагов. – Сконфигурировать аутентификацию с помощью форм в файле web. config обыч ным образом и запретить доступ анонимным пользователям. – Настроить хранилище данных членства. Например, если используется SQL Server , то в базе данных SQL Server придется создать несколько таблиц и хранимых процедур. – Сконфигурировать в файле web. config строку подключения к базе данных и по ставщика членства, который должен использоваться. – Создать пользователей в хранилище данных членства с помощью веб-утилиты конфигурирования ASP. NET либо при помощи собственной страницы админи стрирования, которая может быть реализована в веб-приложении с применением функций Membership API. – Создать страницу входа, которая использует готовый элемент управления Login или класс Membership для проверки введенных удостоверений и аутентификации пользователей. • Все шаги по конфигурированию за исключением настройки поставщика можно выполнить с помощью ASP. NET WAT ( Web Site Administration Tool — инструмент адми нистрирования веб-сайтов), в состав которого входит мастер настройки безопасно сти. Выберите в меню Website (Веб-сайт) пункт ASP. NET Configuration (Конфигурация ASP. NET ) в среде Visual Studio.

Конфигурирование аутентификации форм слайд 1/2 • Интерфейс Membership API основан на аутентификации с помощью форм и предла гается в виде готовой к применению инфраструктуры для управления и аутентифика ции пользователей. Таким образом, в качестве первого шага приложение должно быть сконфигурировано на аутентификацию с помощью форм. Но на этот раз структура ре шения будет немного отличаться. Часто к корневому каталогу приложения открывается доступ для анонимных пользователей, в то время как ограниченные ресурсы сохраня ются в подкаталогах с ограниченным доступом. Эти подкаталоги имеют собственные файлы web. config, которые закрывают доступ анонимным пользователям. Как только кто-то пытается обратиться к ресурсам, расположенным в защищенном каталоге, ис полняющая среда ASP. NET автоматически перенаправляет пользователя на страницу входа.

Конфигурирование аутентификации форм слайд 2/2 • Таким образом, в корневом каталоге веб-приложе ния нужно только сконфигурировать аутентификацию с помощью форм, включив следующий фрагмент: • Эта конфигурация указывает на приме нение аутентификации с помощью форм и открывает анонимный доступ к страницам. В защищенный под каталог должен быть помещен дополнительный файл web. config со следующим содержимым:

Создание хранилища данных • С помощью Membership API необходимо настроить хранилище данных, с которым будет работать поставщик членства. При использова нии SQL Server Express Edition в сочетании с ASP. NET класс Sql. Membership. Provider способен создать это хранилище автоматически. Однако в случае применения любой другой версии SQL Server это хранилище должно создаваться вручную. Есть и ряд дру гих причин для того, чтобы не использовать автоматически присоединяемую, основан ную на файлах базу данных. Этими причинами являются производительность и парал лелизм. • Поэтому для рабочих сред рекомендуется ручное создание базы данных членства. В случае Sql. Membership. Provider создание такого хранилища данных означает создание базы данных SQL Server и множества таблиц и хранимых процедур в ней. ASP. NET поставляется с множеством сценариев SQL , которые позволяют вручную создать необходимую базу данных и ее таблицы, необходимые для хранения информации о пользователях и ролях, используемой Membership API. Однако ASP. NET также поставляется с инструментом aspnet _ regsql. exe , который создает таблицы автоматически. В случае специального поставщика потребуется подготовить и настроить источник данных, применяемый этим поставщиком, в соответствии с его документацией. • Инструмент aspnet _ regsql. ехе можно использовать двумя способами: либо через интерфейс мастера, либо из командной строки, указывая специальные переключатели командной строки. В любом случае понадобится запустить инструмент в окне команд ной строки Visual Studio , поскольку оно включает всю необходимую настройку путей к каталогу. NET Framework , содержащему нужные инструменты. Если просто запусти ть его без параметров, то на экране появится интерфейс мастера, который проведет по всему процессу создания базы данных

Сценарии БД 225 Сценарий Описание Install. Common. sql Устанавливает некоторые общие таблицы и хранимые проце дуры, необходимые и для Membership. API , и для Roles API. Это включает таблицы для идентификации приложений ASP. NET , которые используют другие средства ASP. NET , такие как Membership API , службу ролей, а также персонализацию Install. Membership. sql Устанавливает таблицы базы данных, хранимые процедуры и триггеры, используемые Membership API. Сюда входят табли цы пользователей, дополнительные свойства пользователей и хранимые процедуры для доступа к этой информации Install. Roles. sql Устанавливает таблицы базы данных и хранимые процедуры, необходимые для ассоциирования пользователей с ролями приложений. Эти роли затем используются для авторизации Install. Personalization. sql Содержит команды DDL для создания любой таблицы и хра нимой процедуры, необходимой для создания персонали зированных портальных приложений с помощью Web Parts. Install. Profile. sql Создает все необходимые таблицы и хранимые процедуры для поддержки пользовательских профилей ASP. NET Install. Sql. State. sql Устанавливает таблицы для постоянных состояний сеансов в базе данных TEMP на сервере SQL Server. Это значит, что каж дый раз, когда служба SQL Server останавливается, состояние сеанса теряется Install. Persist. Sql. State. sql Устанавливает таблицы для постоянных состояний сеансов в от дельной базе данных ASPState. Это значит, что состояние се ансов сохраняется даже после перезапуска службы SQL Server

Конфигурирование соединения и поставщика членства • В случае применения хранилища SQL Server (или другого хранилища на основе базы данных) первым делом должна быть настроена строка соединения. Это можно сделать в разделе файла web. config. : • После настройки строки соединения с хранилищем данных о членстве понадобится сконфигурировать поставщик членства для приложения. Для этого необходимо доба вить в файл web. config раздел (если его еще там нет) непосредствен но внутри раздела , как показано ниже (опять-таки, в корневом файле web . config , как описано в начале этого раздела — эмпирическое правило заключается в том, что эти конфигурации поставщика помещаются в web. config , поскольку затра гивают все веб-приложение). • Внутри раздела можно добавить множество поставщиков как до черние элементы раздела . В предыдущем коде показана допустимая конфигурация для поставщика Sql. Membership. Provider. Важно не забыть об атри буте default. Provide г. Этот атрибут указывает поставщика членства, который будет использоваться в коде.

Свойства Sql. Membership. Provider слайд 1/ 3 227 Свойство Описание Name Указывает имя поставщика членства. Можно выбрать любое имя по своему желанию. Имя может быть ис пользовано позже для ссылки на поставщика, когда производится программное обращение к списку скон фигурированных поставщиков членства. application. Name Строковое значение, указывающее имя приложения, для которого поставщик членства управляет пользо вателями и их настройками. Это свойство позволяет использовать одну базу данных членства для множе ства приложений. description Необязательное описание поставщика членства password. Format Получает или устанавливает формат, в котором будут сохраняться пароли в хранилище удостоверений. Допустимые варианты: Clear — для хранения па ролей в виде простого текста, Encrypted — для шифрования паролей в хранилище (для шифрования применяется локально настроенный ключ машины) и Hash — для хеширования паролей в хранилище ин формации о членстве min. Required. Non. Alphanumeric. Characters Указывает количество не алфавитно-цифровых сим волов, которые должен иметь пароль. min. Required. Password. Length Позволяет задать минимальную длину паролей для пользователей приложения. Это также важное свой ство, определяющее надежность пароля

Свойства Sql. Membership. Provider слайд 2 / 3 228 password. Strength. Regular. Expression Если перечисленных выше свойств не достаточно для определения требований к надежности пароля, мож но использовать регулярное выражение для указания формата допустимых паролей. Благодаря этой опции, можно гибко определять критерии формата паролей enable. Password. Reset Платформа Membership API имеет функциональность для переустановки пользовательских паролей и не обязательной отправки электронной почты, если для приложения сконфигурирован SMTP -сервер enable. Password. Retrieval Когда установлено в true, можно извлекать пароль из объекта Membership. User, вызывая его метод Get. Password. Работает только то гда, когда пароль не хеширован max. Invalid. Password. Attempts Задает количество неудачных попыток входа, прежде чем пользователь будет заблокирован. Значение по умолчанию равно 5. password. Attempt. Window Задает количество минут, в течение которых могут предприниматься попытки ввода неправильных паро лей или длиться диалог из вопросов-ответов, связан ных с забытыми паролями, прежде чем пользователю будет полностью заблокирован доступ к приложению, так что только администратор сможет вновь активи зировать учетную запись. Значение по умолчанию составляет 10 минут.

Свойства Sql. Membership. Provider слайд 3 / 3 229 requires. Question. And. Answer Указывает, нужно ли в данном приложении использо вать вопрос и ответ для восстановления забытого па роля. При правильном ответе на вопрос пользователь имеет возможность получить новый автоматически сгенерированный пароль по электронной почте requires. Unique. Email Указывает, должны ли адреса электронной почты быть уникальными для каждого пользователя в лежащем в основе хранилище данных о членстве

Создание аутентифицируемых пользователей

Аутентификация с помощью Membership API protected void Login. Action_Click(object sender, Event. Args e) { if (Membership. Validate. User(Username. Text, Password. Text)) { Forms. Authentication. Redirect. From. Login. Page(Username. Text, false); } else { // Неверное имя пользователя или пароль. Legend. Status. Text = «Invalid user name or password»; } }

Использование элементов управления безопасностью • Теперь, когда подготовлены поставщик и хранилище для информации о пользова телях, можно приступать к построению пользовательского интерфейса для аутентифи кации, входа пользователей и предоставлении им возможности переустановки паролей. Все это потребует создания ряда страниц ASP. NET (таких как login. aspx , которая не обходима для рассмотренной выше аутентификации с помощью форм). • Платформа ASP. NET поставляется с множеством элементов управления, которые упрощают построение, например, страниц входа, а также связанных с ними страниц (например, для первоначальной регистрации пользователей, переустановки паролей с использованием комбинаций вопросов и ответов и т. д. ).

Элементы управления безопасностью слайд 1/2 Элемент управления Описание Login Составной элемент управления, который решает наиболее общую задачу в приложениях, основанных на аутентификации с помощью форм — ото бражает текстовые поля для ввода имени пользователя и пароля, а также кнопку входа. Вдобавок, если события обрабатываются посредством специальных процедур событий, он автоматически проверяет пользова теля через поставщик членства по умолчанию. Этот элемент обычно по мещается на странице login. aspx, используемой для аутентификации с помощью форм. Тем не менее, его можно разместить на любой страни це, где нужно разрешить пользователям входить на веб-сайт Login. Status Простой элемент управления, проверяющий состояние аутентификации текущего сеанса. Если пользователь не аутентифицирован, он предлагает кнопку входа для перенаправления на сконфигурированную страницу вхо да. В противном случае отображает кнопку выхода, обеспечивая возмож ность выхода из приложения. Этот элемент инкапсулирует поведение, ко торое обычно должно быть доступно на всех страницах. Поэтому его очень удобно размещать на мастер-странице. Тем не менее, его можно исполь зовать на любой странице, где должно отображаться состояние входа с прямыми ссылками на страницу входа или выхода пользователей

Элементы управления безопасностью слайд 2/2 Login. View Действительно мощный элемент управления, который дает возможность отображать разные наборы элементов управления для аутентифицирован ных и неаутентифицированных пользователей. Кроме того, он позволяет отображать разные элементы управления для пользователей с отличающимися ролями. Этот элемент обычно помещает ся на страницу с содержимым, поскольку отображает содержимое веб-сай та в зависимости от параллельно работающих со страницей пользователей Password. Recovery Позволяет пользователю извлечь пароль, если при регистрации был указан его адрес электронной почты. Запрашивает имя пользователя, затем автоматически отображает интерфейс с контрольным вопросом и ожидает ответа. Если ответ правильный, использует Membership API для отправки пароля пользователю. Change. Password Составной элемент управления, который запрашивает старый пароль пользователя и позволяет ему ввести и подтвердить новый пароль. Опять-таки, этот элемент управления обычно размещается на отдельной странице ASP. NET , предназначенной для смены пароля пользователем Create. User. Wizard Включает полный мастер, который проводит пользователя (или админи стратора) через процесс создания нового пользователя. Этот элемент обычно помещается на отдельную страницу ASP NET веб-сайта, которая позволяет пользователю самостоятельно регистрироваться на веб-сайте

Элемент управления Login

Локализация проектов. Ресурсы проекта • Создание многоязычных web-сайтов имеет особенно большое значение в неанглоговорящих странах. Изначально ASP. NET настроена на английский язык, причем на его американскую разновидность. Но платформа. NET поддерживает концепцию информации о культуре, а строки хранятся в формате Unicode, что позволяет писать их на множестве языков. Глобализация — это создание приложений, способных работать в разных культурных средах. Локализация — создание ресурсов для работы с конкретной культурой. Ресурсы должны быть отделены от программного кода. • Классы для работы с информацией о культурах заключены в пространстве имен Globalization. Класс Culture. Info содержит свойство Current. Culture, которое позволяет узнать все данные о текущей культуре — форматы отображения, календарь, кодовую страницу и другие. • Файлы ресурса содержат строки, которые могут быть написаны на разных языках для различных культурных сред. Формат этих файлов — XML, следующий специальной схеме Microsoft Res. X. Файлы. resx автоматически включаются в сборку для использования на страницах. Кроме строк, файлы ресурса могут содержать картинки и другие файлы. Их можно использовать для создания многоязычных приложений.

Папки ресурсов • В папке App_Global. Resources хранятся файлы ресурсов , названия которых соответствуют культурной схеме. Например, ресурс для русской культуры называется Resource. ru-ru. resx, для немецкой — Resource. de — DE. resx. Ресурс с нейтральной культурой называется просто Resource. resx. Ресурсы доступны для всех страниц и пользовательских элементов управления. Промежуточное расширение следует стандарту. NET на региональные стандарты — состоит из главного и вспомогательного тегов. • В папке \App_Local. Resources хранятся локальные файлы ресурсов для конкретных страниц. Название файла ресурса формируется из имени страницы, кода культурной среды и расширения resx. Например, default. aspx. fi. resx — это файл ресурса на финском языке для страницы default. aspx. • Протокол HTTP позволяет браузерам посылать список предпочитаемых языков на сервер. В браузере можно настроить предпочтительные языки web-страниц. ASP. NET позволяет автоматически модифицировать культуру страницы в зависимости от первого языка в списке. Для этого атрибуту Culture директивы Page нужно присвоить значение auto. Так же обстоит дело у атрибута UICulture — он определяет культуру пользовательского интерфейса. Менеджер ресурсов ищет строки и другие ресурсы в файле с тем расширением, которое определено в атрибуте UICulture. Формат отображения дат, чисел и денежной информации определяется атрибутом Culture. •

Пример глобализации • Загрузить строку из файла ресурсов можно по-разному. Первый способ — использовать класс Resource. Предварительно в App_Global Resources нужно создать файлы Resource. resx и Resource. ru-RU. resx со строками. Name Value Answer Good morning, Page. Title Sample Globalization Page Question What is your name? Name Value Answer Привет Page. Title Пример глобализации ASP. NET Question Как Вас зовут?

Пример глобализации 2

public partial class Web. Form 3 : System. Web. UI. Page { protected void Page_Load(object sender, Event. Args e) { Page. Title = Resources. Resource. Page. Title; } protected void Button 1_Click(object sender, System. Event. Args e) { Localize 1. Text = Resources. Resource. Answer + «, » + Textbox 1. Text; } }

Глобализация • Второй способ позволяет статически выводить информацию из локальных файлов ресурсов: • •

Web – службы ( web- сервисы) • В процессе эволюции Интернета появилась необходимость в создании распределенных приложений. Приложения, установленные на компьютере, обычно используют библиотеки, размещенные на нем. Одну библиотеку могут использовать несколько программ. • Предприятия на своих страницах предоставляют разнообразную информацию. Например, со своего сайта компания «Форд» публикует информацию о моделях и ценах. Дилер этой компании хотел бы иметь эту информацию и на своем сайте. Web-служба позволяет сайту-потребителю получать информацию с сайта-поставщика. Сайт-потребитель показывает эту информацию на своих страницах. Код для генерации этой информации написан один раз, но может использоваться многими потребителями. Данные представлены в простом текстовом виде, поэтому ими можно пользоваться независимо от платформы.

Web — сервисы • Web-сервисы широко используются и в Desktop, и в Интернет-приложениях. Они сами по себе являются не приложениями, а источниками данных для приложений. У них отсутствует пользовательский интерфейс. Web-сервисами необязательно пользоваться через сеть — они могут быть частью проекта, в котором используются. • Web-сервисы — это функциональность и данные, предоставляемые для использования внешними приложениями, которые работают с сервисами посредством стандартных протоколов и форматов данных. Web-сервисы полностью независимы от языка и платформы реализации. Технология Web-сервисов является краеугольным камнем программной модели Microsoft. NET.

SOAP • Для взаимодействия с web-сервисами применяется протокол SOAP , основанный на XML. Можно было бы использовать просто XML, но это слишком свободный формат, в нем каждый документ фактически создает свой язык. SOAP — это соглашение о формате XML-документа, о наличии в нем определенных элементов и пространств имен. • SOAP позволяет публиковать и потреблять сложные структуры данных, например Data. Set. В то же самое время его легко изучить. Текущая версия SOAP — 1. 2. • SOAP — это Простой Протокол Обмена Данными (Simple Object Access Protocol). SOAP создан для того, чтобы облегчать взаимодействие приложениям через HTTP. Это особый независимый от платформы формат обмена сообщениями через Интернет. Сообщение SOAP — это обычный XML-документ. Стандарт SOAP разрабатывает консорциум W 3 C. • SOAP -сообщение состоит из конверта (envelope), заголовка (header) и тела (body). Элементы body и envelope должны присутствовать всегда, а header необязателен. Элемент envelope — корневой. Элемент header может содержать специфичную для данного приложения информацию. В документе, сгенерированном web-сервисом, может присутствовать элемент ault, который описывает ошибку работы. POST /Web. Site 5/Web. Service. asmx HTTP/1. 1 Host: localhost. Content-Type: application/soap+xml; charset=utf-8 Content-Length: length

Использование Web- службы • Сайт http: //www. webservicelist. com/ — каталог различных сервисов. • Чтобы получить информацию от web-службы , нужно только послать HTTP-запрос, в теле которого находится SOAP -сообщение.

Пример запроса – погода в Москве Запрос к службе http: //www. webservicex. net/globalweather. asmx на получение прогноза погоды в Москве выглядит так: POST /globalweather. asmx HTTP/1. 1 Host: www. webservicex. net Content-Type: text/xml; charset=utf-8 Content-Length: length SOAPAction: «http: //www. webservice. X. NET/Get. Weather» Moscow Russian

Ответ сервиса Moscow / Vnukovo , Russia (UUWW) 55 -39 N 037 -16 E Aug 07, 2006 — 04: 30 AM EDT / 2006. 08. 07 0830 UTC from the E (080 degrees) at 11 MPH (10 KT): 0 greater than 7 mile(s): 0 overcast 66 F (19 C) 55 F (13 C) 68% 29. 85 in. Hg (1011 h. Pa) Sccess

Добавление в проект ссылки на Web- сервис

Код для работы с Web — сервисом protected void Button 1_Click(object sender, System. Event. Args e) { Web. Application 3. net. webservicex. www. Global. Weather w 1= new Global. Weather(); string xmlstring = w 1. Get. Weather(«Moscow», «Russia»); Xml. Docment doc = new Xml. Document(); // загрузка ответа в документ doc. Load. Xml(xmlstring); // doc. Child. Nodes. Item(0) — это XML- заголовок // doc. Child. Nodes. Item(1) — тело Xml. Node child = doc. Child. Nodes. Item(1); Xml. Element el = child[«Temperature»]; Textbox 1. Text += el. Inner. Text; }

Создание Web- службы

Работа с XML • Аббревиатура XML расшифровывается как Extensible Markup Language, в переводе «расширяемый язык разметки». Как и язык HTML, он является подмножеством SGML (Standard General Markup Language). • XML — это универсальный, независящий от платформы стандарт описания информации, который можно использовать для представления иерархических данных и унификации передаваемой информации. Без его знания невозможно понимание SOAP и, следовательно, web-сервисов. XML стал де-факто стандартом передачи данных в сети Интернет. Стандарт XML и связанных с ним форматов определяется консорциумом W 3 C (World Wide Web Consortium). • XML создан для описания данных и фокусируется на том, что именно они из себя представляют. HTML создан для демонстрации данных и фокусируется на том, как данные выглядят. Теги XML не предопределены создателями языка, в отличие от тегов HTML. Каждый автор документа сам определяет собственные теги. • Стандарт требует, чтобы программа, которая обрабатывает XML-документ, остановливала работу, когда обнаружит ошибку. А если браузер обнаружит непонятный тег в HTML или отсутствие закрывающего тега, он это просто игнорирует.

• В начале XML-документа обязательно появляется его декларация, или пролог. В нем указывается версия стандарта XML , которому он соответствует: • • Декларация не является частью XML-документа и не имеет закрывающего тега. В тексте XML-файла могут находиться комментарии в стиле HTML — . • XML-документ может иметь только один корневой элемент. В него могут быть вложены другие узлы, а в них, в свою очередь, — другие. Каждому открывающему тегу XML должен соответствовать закрывающий тег. После завершающего тега корневого элемента не может быть других тегов. Теги XML чувствительны к регистру (case-sensitive). Теги должны быть целиком вложены друг в друга. поэтому код, допустимый в HTML • Какой-то текст является ошибкой в XML. • У тегов могут быть атрибуты. Значения атрибутов должны быть заключены в кавычки. Порядок атрибутов значения не имеет. Между открывающим и закрывающим тегами может находиться текст. В XML сохраняются все пробелы, находящиеся в тексте. Если текста нет, можно применить сокращенную форму записи. Пример тега XML : • • Это краткая форма тега • • Существует атрибут xmlns, который определяет пространство имен. Значением его может быть любое уникальное имя. Существует договоренность использовать URL, так как они уникальны. Пространства имен имеют смысл, аналогичный их применению в. NET Framework — чтобы не смешивать одинаковые имена, используемые разными разработчиками. Название пространства имен отделяется от имени двоеточием. • XML-файлы представляют иерархическую информацию, которую можно представить в виде дерева с одним корнем. • Документы XML , удовлетворяющие всем требованиям синтаксиса, называют правильными (well-formed). Для описания данных XML использует DTD (Document Type Definition) — определение типа документа. Если файл соответствует DTD, он считается действительным (valid).

Ad. Rotator • Элемент управления Ad. Rotator позволяет показывать рекламные баннеры и автоматически заменять их на другие. Сами баннеры описаны в файле XML или в другом источнике данных. Реклама обновляется каждый раз при обновлении страницы. В свойстве Advertisment. File задается имя XML-файла. • Скелет XML- файла таков : • • • • Внутри узла Advertisements располагаются узлы • • У этих узлов имеются 5 атрибутов, все они необязательны. Image. Url Картинка, которая будет демонстрироваться при выборе данного объявления Navigate. Url Адрес, по которому будет совершен переход при щелчке на картинку Alternate. Text Альтернативный текст, если показ изображений выключен Impressions Все значения Impressions суммируются. Вероятность показа рекламы равна значению Impressions, деленному на эту сумму Keyword Ключевое слово-категория рекламы, позволяет фильтровать объявления

fixed. gif http: //www. im. am Бесплатный хостинг 40 хостинг logo 2. jpg http: //www. nv. am Газета » Новое время » 50 новости summer. jpg http: //www. utro. ru Певицу Жасмин избил муж ! 100 желтые новости

• • Если установлено свойство Keyword, то элемент управления показывает только ту рекламу, которая соответствует его содержанию. • В предыдущих версиях ASP. NET можно было работать только с файлами XML. Теперь можно использовать любой источник данных, связавшись с источником данных. В таком случае необходимо указать как минимум 3 поля источника в свойствах Image. Url. Field, Navigate. Url. Field и Alternate. Text. Field: •

Файлы определения схемы документа • Согласно современному стандарту, валидный документ должен соответствовать связанному с ним файлу XSD (XML Schema Definition) — файлу определения схемы XML , который определяет конкретный язык, то есть описывает, какие элементы и типы могут появляться в документе. Схемы XSD призваны заменить DTD (Document Type Definition), разница между ними заключается в том, что файлы XSD сами тоже используют синтаксис XML. Схемы XSD позволяют определить, какие теги разрешены, обязательны они или нет, могут ли повторяться в документе и так далее. Таким образом, XML описывает данные, а XSD — структуру этих данных, или метаданные. В терминах программирования, XSD — описание типов, в то время как в XML-файле описаны объекты этих типов. • http: //www. w 3. org/standards/techs/xmlschema#w 3 c_all

• Файл описания схемы начинается с описания префикса пространства имен, который включается затем во все элементы этого файла. Адрес http: //tempuri. org предназначается для задания URI для пространств имен ASP. NET: • • •

Декларирование элементов и атрибутов • • Например, это определение задает, что элемент «Author» строкового типа, должен появляться один и только один и раз, и если он не указан, то принимает значение «Пушкин». • • Параметр max. Occurs=»unbounded» указывает, что элемент может встречаться любое количество раз. • Параметр ref позволяет ссылаться на уже описанный в данном файле глобальный элемент или атрибут, чтобы избежать повторного описания одних и тех же элементов

Определение сложных типов • В XSD есть предопределенные типы — примерно такие же, как в. NET. Во время работы приложения они преобразуются в типы. NET. На их основании можно строить сложные типы, похожие на структуры языков программирования. Сложный тип состоит из последовательности описаний элементов. Определим сложный тип: • Тег определяет, что элементы в данном типе должны появляться в заданном порядке. Если бы использовался тег , то порядок появления элементов мог бы быть любым. • Тег похож на структуру с вариантами. Он определяет, что в элементе данного типа должен быть только один из вложенных элементов:

Определение простых типов • Простые типы тоже строятся на основе стандартных типов, накладывая разные ограничения. Типы могут быть глобальными или вложенными в определение элементов. • Глобальный тип можно использовать в определении элементов: • • В следующем примере определен простой тип, вложенный в определение элемента My. Value: • Значениями этого типа могут быть целые положительные числа от 1 до 10. • Простой тип может быть перечислением:

Добавление новых атрибутов и групп атрибутов, аннотаций • • Аннотации позволяют вставлять описание существующих элементов — таким образом, в файл добавляется документация: • • • Цитаты разных авторов • • предназначается для читателей файла, а — для обрабатывающих файл программ.

XMLReader • С помощью класса Xml. Reader можно быстрее, чем другими методами, получить данные из XML-документов. • Xml. Reader обеспечивает последовательный доступ только для чтения к потоку XML-данных. Класс Xml. Reader согласуется с рекомендациями консорциума W 3 C по языку XML 1. 0 и по пространствам имен в XML. • Текущий узел ссылается на узел, в котором расположено средство чтения. Средство чтения продвигается с помощью любого из методов чтения, свойства соответствуют значению текущего узла.

• Xml. Reader — это абстрактный класс. Чтобы начать чтение, в статический метод Create передается объект класса Xml. Reader. Settings. Эта функция подсчитывает число узлов в документе: using System. Xml; using System. IO; private int Count. Nodes(string xml. File) { int Nodes. Count=0; Xml. Reader. Settings settings = new Xml. Reader. Settings(); settings. Ignore. Whitespace = true; settings. Ignore. Comments = true; using (Xml. Reader reader = Xml. Reader. Create(xml. File, settings)) { while (reader. Read()) { if (reader. Node. Type == Xml. Node. Type. Element) { Nodes. Count++; } } return Nodes. Count; }

XPath. Docment • Класс обеспечивает чтение и хранение в памяти XML-документов для трансформаций с помощью XSL. По документу можно перемещаться в любом направлении и получать произвольный доступ к любому элементу, используя выражения XPath. • Возьмем XML-документ «Quotes. xml» и файл трансформации XSL «Quotes. xsl». В выходной поток страницы будет направлен результат преобразования XML -документа:

Элемент управления XML • Элемент управления XML предоставляет способ преобразовать XML-документ, используя таблицу стилей XSL. Свойство Docment. Source позволяют задать XML-файл, в котором находятся данные, а Transform. Source — файл трансформации XSLT. • В предыдущем примере того же результата можно достичь, если поставить на странице элемент управления XML : • •

XMLData. Source • Элемент-источник данных XMLData. Source обеспечивает простой способ подключения XML-документов как источников данных к элементам, отображающим информацию. Также можно задать запрос XPath для того, чтобы отфильтровать данные. Как и Sql. Data. Source, он позволяет редактировать, удалять, добавлять записи данных. Для этого нужно получить доступ к находящемуся в нем объекту Xml. Data. Document с помощью вызова метода Get. Xml. Document. После редактирования документ сохраняется с помощью метода Save. • В отличие от табличных данных в СУБД, данные в XML-файлах иерархичны, поэтому XMLData. Source удобно привязывать к иерархичным элементам управления, например, Menu.

Элемент управления File. Upload • Формы HTML позволяют загружать пользовательские файлы на сервер. Для этого нужно установить атрибут enctype как «multipart/form-data» и в нем должен находиться элемент • . • Элемент управления File. Upload облегчает эту работу. Нужно вставить его в форму, а enctype установится автоматически. Элемент состоит из строки ввода и кнопки с надписью Browse. • Процесс загрузки начинается после подачи формы на сервер, обычно для этого вставляют еще одну кнопку:

• После того как файл загружен, File. Upload позволяет узнать его свойства. Файл находится в кэше сервера, пока не будет сохранен на диск методом Save. As: protected void Upload. Button_Click(object sender, Event. Args e) { if (this. File. Upload 1. Has. File) { try { File. Upload 1. Save. As(«c: \\Uploads\\» + File. Upload 1. File. Name); Message. Text = » Имя файла : » + File. Upload 1. Posted. File. Name + » » + File. Upload 1. Posted. File. Content. Length + » кб » + «Content type: » + File. Upload 1. Posted. File. Content. Type; } catch (Exception ex) { Message. Text = » Ошибка : » + ex. Message. To. String(); } } Процесс сохранения может вызвать исключения, поэтому он заключен в блок try-catch.

Использование Java. Script • Страница, отображающая время на стороне клиента:

protected void Page_Load(object sender, Event. Args e) { string my. Script = @»function Show() { document. forms[0][‘Client. Time’]. value=Date(); }»; if (!Page. Client. Script. Is. Client. Script. Block. Registered(«My. Script»)) Page. Client. Script. Register. Client. Script. Block(this. Get. Type(), «My. Script», my. Script, true); }

Register. Startup. Script • Метод Register. Startup. Script похож на предыдущий, и отличие заключается в том, что скрипт выполняется при загрузке страницы, но после отображения всех элементов. Сам скрипт находится в конце описания формы. Парсер Java. Script не может обратиться к элементам, если они не описаны до функции. Если написать скрипт, которые читает данные из формы, то попытка отображения страницы вызовет ошибку времени выполнения: string my. Script 1 = @»alert(document. forms[0][‘Client. Time’]. value); «; Page. Client. Script. Register. Client. Script. Block(this. Get. Type(), «Alert. Script», my. Script 1, true); • Значение поля в момент отображения скрипта еще не определено. Поэтому нужно вызывать Register. Startup. Script: string my. Script 1 = @»function Message() {alert(document. forms[0] [‘Client. Time’]. value); }»; Page. Client. Script. Register. Startup. Script(this. Get. Type(), «Alert. Script», my. Script 1, true);

Register. Client. Script. Include • Метод Register. Client. Script. Include позволяет подключить внешний файл Java. Script. Например , Page. Client. Script. Register. Client. Script. Include(«m y. Key», «Extern. Java. Script. Code. js»); • создает на выданной странице код

Использование клиентских событий В примерах использовались не серверные командные кнопки, а элементы управления HTML. Причина заключается в том, что нажатие на командную кнопку отправляет форму на сервер. Событие On. Click выполняется на сервере. А в Java. Script существует свой On. Click. Вызвать его можно при помощи свойства Attributes, которое позволяет обратиться к атрибутам элемента, даже тем, которые не соответствуют встроенным свойствам: protected void Page_Load(object sender, Event. Args e) { Button 2. Attributes. Add(«onclick», «Show(); return false»); } return false нужно писать обязательно, иначе форма будет отправлена на сервер. Эти функции можно применить к любым серверным элементам: public static void Add. Confirm. Message(Web. Control ctl, string message) { ctl. Attributes. Add(«onclick», «if ( ! confirm( ‘» + message + «‘ )) return false; «); } public static void Add. Popup. Message(Web. Control ctl, string message) { ctl. Attributes. Add(«onclick», «alert( ‘» + message + «‘); «); }

Работа с данными • Для того чтобы создавать интересные web-страницы, необходимо наполнить их динамичным, обновляемым содержанием. Особенно необходимо это в бизнес-приложениях — банковских, интернет-магазинах и аукционах. Важная часть работы, которую выполняет разработчик ASP. NET — это связывание своих страниц с источниками данных, отображение данных на странице, создание удобных средств взаимодействия с ними. • Для хранения данных чаще всего используются СУБД (системы управления базами данных). В ASP. NET работа с данными происходит через ADO. NET — часть. NET, разработанная специально для доступа к базам данных или XML-файлам.

ADO. NET • ADO. NET — это набор классов для работы с внешними данными. • Соединение в ADO. NET может происходить с помощью различных провайдеров. • Классы ADO. NET объединены в несколько пространств имен. • System. Data — это ядро ADO. NET. Оно содержит классы, необходимые для связи посредством любых провайдеров данных. Эти классы представляют таблицы , строки, столбцы, Data. Set (множество взаимосвязанных таблиц ). Там определены интерфейсы (в смысле языка C#) соединений с базами данных, команд, адаптеров данных. • System. Data. Common — базовые классы для всех провайдеров данных — Db. Connection, Db. Command, Db. Data. Adapter. • В System. Data. Ole. Db находятся классы, позволяющие работать с источниками данных Ole. Db, в том числе с MS SQL версии 6. 0 и ниже. Там находятся такие классы, как Ole. Db. Connection, Ole. Db. Data. Adapter и Ole. Db. Command. • System. Data. Odbc содержит классы, которые работают с источниками данных ODBC посредством провайдера. NET ODBC. Классы имеют аналогичные имена с префиксом Odbc. • System. Data. Sql. Client. Здесь определен провайдер данных для СУБД SQL Server версии 7. 0 и выше. Содержатся классы Sql. Connection, Sql. Transaction, Sql. Command и другие. • В System. Data. Sql. Types находятся классы, представляющие типы данных СУБД SQL Server. • Классы ADO. NET делятся на 3 типа. Классы типа Disconnected определяют базовую структуру данных, например, Data. Table. Они независимы от каких-либо провайдеров данных и могут создаваться и заселяться данными непосредственно в программе. Классы Shared — базовые и общие для всех провайдеров. Классы Data Provider — специфические для разных провайдеров.

Использование ADO. NET • Программирование ADO. NET • Все провайдеры данных содержат классы соединений, адаптеров, команд. Схема типичной программы в ADO. NET следующая: • 1. Вначале создается соединение с базой данных — класс Connection , который обеспечивается необходимой информацией — строкой соединения. • 2. Создается объект Command и задается команда, которую необходимо выполнить в данной СУБД. Эта команда может быть запросом SQL или исполняемой процедурой. Нужно задать параметры этой команды, если они имеются. • 3. Если команда не возвращает данных, она просто выполняется с помощью одного из методов Execute. Например, это может быть удаление или обновление данных таблицы. • 4. Если команда возвращает выборку данных, их необходимо куда-то поместить. Решите, нужно ли вам получить данные для последующего использования без связи с базой данных или же нужно просто быстро выполнить команду. В первом случае нужно создать класс Data. Adapter и с его помощью сохранить данные в Data. Set или в Data. Table. Во втором случае создается класс Data. Reader, который требует сохранять соединение на все время работы, хранит выборку только для чтения и позволяет двигаться только вперед. Зато чтение с помощью Data. Reader выполняется в несколько раз быстрее, чем в Data. Adapter. • 5. Задать полученный Data. Set или Data. Reader как источник данных элемента управления или вывести их на страницу другим способом.

Элементы – источники данных • Эти элементы облегчают работу с ADO. NET, инкапсулируя работу с соединениями, командами и адаптерами. Они реализуют интерфейс IData. Source, в котором определен базовый набор возможностей работы с источниками данных. Большинство этих классов предоставляют функциональность для чтения и записи. Они являются обертками объектов ADO. NET. В предыдущих версиях надо было создавать объекты ADO самим и связывать элементы-управления с ними посредством команды Data. Bind. Теперь элементы управления связываются c элементом-источником посредством свойства Data. Source. ID. Любой класс-источник данных может быть связан почти с любым классом для отображения данных, и это предоставляет большую гибкость. • Всего в ASP. NET 5 элементов-источников данных : Sql. Data. Source , Access. Data. Source и Object. Data. Source для работы с табличными источниками данных и Xml. Data. Source и Site. Map. Data. Source — для работы с иерархическими данными. • Sql. Data. Source позволяет соединяться с большинством реляционных СУБД. Sql в названии класса означает, что служит для соединения с базами, которые понимают язык запросов Sql, а не только с MS SQL Server. • Access. Data. Source оптимизирован для работы с базами Access. Например : • Site. Map. Data. Source — это специализация Xml. Data. Source, работает с файлами навигации по сайту и служит источником данных для элементов управления навигации. • Object. Data. Source нужен для соединения с написанными программистом бизнес-объектами. • Элементы-источники данных предназначены для двустороннего обмена данными, то есть как для чтения, так и для записи. Сами по себе они ничего не отображают. Данные будут доступны подключенным к ним элементам управления.

Кэширование и сортировка • Кэширование нужно для увеличения эффективности работы с данными. При включенном кэшировании Sql. Data. Source «запоминает» большое количество записей на заданное время, даже если все данные не отображаются сразу, но могут понадобиться при перелистывании. Например, студент читает первую страницу лекции, логично, что он вскоре перейдет ко второй. Если сервер хранит в оперативной памяти все страницы лекции, он их оперативно выдаст, не обращаясь к базе. • При включенном кэшировании данные читаются «большим куском», а выборка записей происходит с помощью фильтрования. • В Sql. Data. Source кэширование и сортировка возможны только при получении данных через Data. Set. Если Data. Source. Mode равно Data. Reader, а Enable. Caching — True, будет выброшено исключение Non. Supported. Exception. • Длительность кэширования можно задать в свойстве Cache. Duration, это может быть определенное количество секунд или Infinite, то есть данные никогда не обновляются. • Поведение кэширования зависит от сочетания свойств Cache. Duration и Cache. Expiration. Policy. Если значение Cache. Expiration Policy равно Absolute, то элемент запрашивает информацию через промежутки времени, определенные в Cache. Duration, а старую стирает из памяти. Если Cache. Expiration. Policy равен значению Sliding, то Sql. Data. Source начинает отсчет времени после каждого запроса к нему. Данные из кэша устаревают, если в течение времени Cache. Duration не было ни одного Select-запроса. • В Filter. Expression задается выражение для фильтрации, причем формат этих выражений аналогичен тому, что используется для форматирования строк с параметрами в фигурных скобках {0}, {1}, в которые подставляются значения из источника, указанного в Filter Parameters. • В свойстве Sort. Parameter. Name можно записать список полей, по которым проводится сортировка, возможно с добавлением опции Desc для сортировки в порядке убывания. Параметры передаются в команду Select, если это серверная процедура.

Object. Data. Source • Как уже было сказано, этот класс работает с бизнес-объектами. Это такие классы, которые инкапсулируют логику работы с данными, нужными в приложении. Класс бизнес-объекта может быть написан на любом языке. NET. Как и все классы, он располагается в папке App_Code. • Object. Data. Source работает как связующее звено между бизнес-объектами и элементами управления, отображающими данные. Получается многоуровневая компонентная архитектура. Классы бизнес-объектов могут поменять свое внутреннее представление, и это никак не отразится на страницах, которые их используют. Object. Data. Source работает во многом так же, как Sql. Data. Source , с той разницей, что он имеет дело не с базой данных, а с классом. • Свойство Type. Name класса Object. Data. Source указывает на используемый класс. Класс бизнес-объекта должен поддерживать конструктор и 4 метода (возможно, и больше) — для чтения, редактирования, удаления и добавления данных в источник данных. Элемент управления Object. Data. Source пользуется этими методами. • Например, свойство Select. Method указывает на метод класса бизнес-объекта , который возвращает данные. • Откуда бизнес-объект берет данные, ему не важно. Некоторые бизнес-объекты работают с базами данных, некоторые — с сессией или текстовыми файлами. Главное, что метод, который он использует для чтения, должен возвращать класс, реализующий интерфейс IEnumerable. Update. Method — метод, который обновляет данные. Аналогичную функцию выполняют Delete. Method и Insert. Method. • Класс бизнес-объекта может поддерживать метод Select. Count, который возвращает общее количество объектов в источнике данных. Object. Data. Source вызывает этот метод, чтобы реализовать разбиение на страницы. • Чаще всего данные все-таки получают из баз данных, XML-файлов или web-сервисов. Классы бизнес-логики могут разрабатывать одни члены команды, а заниматься дизайном страниц — другие. Их можно использовать и в обычных приложениях в Windows Forms.

Элементы-потребители данных. Data-Bound Controls • Потребители данных отображают данные, полученные из классов-источников данных. Они предоставляют много полезных функций. Например, элемент управления Grid. View может не только показывать данные, но и сортировать, выбирать, редактировать их. Если этой функциональности недостаточно, ее можно расширить, написав собственные обработчики событий. • Элементы, которые могут быть связаны с элементами-источниками данных, многообразны. Во-первых, это уже хорошо знакомые Drop. Down. List, List. Box, Check. Box. List, Radio. Button. List, Bulleted. List. Однако у всех них необходимо в качестве источника данных указывать не Data. Source, а Data. Source. ID. Все эти элементы отображать могут только одно поле, указанное в Data. Text. Field, с возможностью задания второго в качестве индексного в свойстве Data. Value. Field: • <asp: Sql. Data. Source ID="Sql. Data. Source 3" runat="server" Connection. String="» • Select. Command=»SELECT [Category. Name], [Category. ID] FROM [Categories]»> • • • • • • Append. Data. Bound. Items — это новое свойство. Оно позволяет комбинировать данные из элемента-источника с данными, статически объявленными на странице.

Repeater • Repeater в переводе означает «тот, кто повторяет». • Шаблон — это множество тегов HTML и серверных элементов управления, которые задают образец для отображения составной части сложного элемента управления. Data. Grid может использовать шаблоны или нет, но Repeater без них существовать не может — сам по себе он не имеет визуального представления. Таким образом, программист сам определяет его внешний вид. Кроме Data. Source. ID и Data. Member, собственных свойств у него нет. Поэтому у программиста есть полный контроль над тем, как выводится Repeater. • Как минимум, должен быть описан шаблон Item. Template. Header. Template отображается один раз в начале отрисовки репитера, Footer. Template в конце, Separator. Template между отображением каждого пункта, Alternating. Item. Template — для четных пунктов. Все серверные элементы управления в шаблон помещаются целиком, поэтому, чтобы получить таблицу, используют простые теги HTML. Например, открывающий тег