在创建代码组的过程中,简要熟悉了代码组的成员条件,在安全策略的实施过程中,可以认为,所有符合该代码组成员条件的程序集都属于该代码组。成员条件的实现形式是类型,每种成员条件对应一种类型。
所有代码
“所有代码”表示匹配所有代码的成员条件,该成员条件的实现类是AllMembershipCondition类。该成员条件通常用于策略级别的根代码组,以便将该策略应用于所有代码。AllMembershipCondition的类定义如代码清单4-6所示。
代码清单2-1 AllMembershipCondition类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed classAllMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable
AllMembershipCondition类继承了三个接口:
IMembershipCondition接口:定义测试以确定代码程序集是否是代码组的成员。该接口的Check方法用来确定指定的证据是否能满足成员条件。
ISecurityEncodable接口:定义使权限对象状态与 XML 元素表示形式进行相互转换的方法。任何自定义权限都必须实现此接口。该接口的FromXml方法用 XML 编码重新构造具有指定状态的安全对象,ToXml方法创建安全对象及其当前状态的 XML 编码。
ISecurityPolicyEncodable接口:支持使权限对象状态与 XML 元素表示形式进行相互转换的方法。该接口与 ISecurityEncodable接口相似,不同的是它包含策略级上下文,解析对命名权限集的引用时需要策略级上下文信息。ISecurityPolicyEncodable接口也提供了FromXml和ToXml方法,功能与ISecurityEncodable接口相同。
应用程序目录
“应用程序目录”成员条件通过测试程序集的应用程序目录确定该程序集是否属于代码组。该成员条件的实现类是ApplicationDirectoryMembershipCondition 类,该类定义如代码清单2-2所示。
代码清单2-2 ApplicationDirectoryMembershipCondition 类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed class ApplicationDirectoryMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable
ApplicationDirectoryMembershipCondition可确定 ApplicationDirectory 属性是否包含程序集 URL 证据路径。例如,如果 ApplicationDirectory 是 C:\app1,则具有 URL 证据的程序集(例如 C:\app1、C:\app1\main.aspx、C:\app1\folder1 或 C:\app1\folder1\main1.aspx)符合该成员条件。不在 C:\app1 目录中或其子目录之一中的代码未能通过成员条件测试。没有 ApplicationDirectory 或 URL 证据的代码总是不能通过成员条件测试。
哈希
“哈希”成员条件通过测试程序集的哈希值确定该程序集是否属于代码组。该成员条件的实现类是HashMembershipCondition类,该类的定义如代码清单4-8所示。
代码清单2-3 HashMembershipCondition类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed classHashMembershipCondition : ISerializable, IDeserializationCallback, IMembershipCondition,
ISecurityEncodable, ISecurityPolicyEncodable
HashMembershipCondition类比AllMembershipCondition类多实现了两个接口:
ISerializable接口:允许对象控制其自己的序列化和反序列化过程。
IDeserializationCallback接口:指示在完成整个对象的反序列化时的通知类。
发行者
“发行者”成员条件通过测试程序集的软件发行者 Authenticode X.509v3 证书确定程序集是否属于代码组。该成员条件的实现类是PublisherMembershipCondition类,该类的定义如代码清单2-3所示。
代码清单2-3 PublisherMembershipCondition类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed class PublisherMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable
PublisherMembershipCondition类有一个名为Certificate的公共属性,用类获取或设置要针对其测试成员条件的 Authenticode X.509v3 证书。
站点
“站点”成员条件通过测试从其中产生程序集的站点以确定该程序集是否属于代码组,其中代码可出自 HTTP 站点、HTTPS 站点和 FTP 站点。该成员条件的实现类为SiteMembershipCondition类,该类的定义如代码清单2-4所示。
代码清单2-4 SiteMembershipCondition类定义
[SerializableAttribute]
[ComVisibleAttribute(true)]
public sealed class SiteMembershipCondition : IMembershipCondition, ISecurityEncodable, ISecurityPolicyEncodable
如果该代码源于由 Site 指定的网站,则代码程序集满足站点成员条件。站点是位于 URL 协议标识符后面的“//”和后面的“/”(如果存在)之间的字符串。例如,www.xuanhun.com 是 URL http://www.xuanhun.com/process/grind.htm 的站点标识,这不包括端口号。如果给定的 URL 是 http://www.xuanhun.com:8000/,则站点为 www.xuanhun.com,而非 www.fourthcoffee.com:8000。
站点可以完全匹配,也可以通过在点分隔符位置使用通配符(“*”)前缀进行匹配。例如,站点名称 *.xuanhun.com 与 xuanhun.com 和 www.xuanhun.com 匹配。如果没有通配符,则站点名称必须是精确匹配。站点名称 * 将与所有站点匹配,但不会与无站点证据的代码匹配。