.NET을 이용한 모듈 개발

서론

다음과 같은 두 가지 방식으로 모듈을 개발해서 IIS 7을 확장할 수 있습니다:

1. 관리되는 코드와 ASP.NET 서버 확장 API를 사용하는 방식.
2. 네이티브 코드와 IIS 7 네이티브 서버 확장 API를 사용하는 방식.

지금까지는 ASP.NET 요청 처리 파이프라인과 서버의 메인 요청 파이프라인이 별개로 분리되어 있었기 때문에 ASP.NET 모듈의 기능이 제한적일 수 밖에 없었습니다. IIS 7의 통합 파이프라인 아키텍처는 사실상 관리되는 모듈의 기능을 네이티브 모듈과 비슷한 수준까지 강력하게 끌어올렸습니다. 가장 중요한 점은, 관리되는 모듈에 의해 제공되는 서비스들이 ASPX 페이지 같은 ASP.NET 콘텐츠에 대한 요청뿐만 아니라 서버에 대한 모든 요청에 적용된다는 사실입니다. 관리되는 모듈은 네이티브 모듈과 동일한 방식으로 구성 및 관리되며, 동일한 처리 단계와 순서로 실행됩니다. 마지막으로 관리되는 모듈은 ASP.NET의 기본 기능을 향상시키고 확장하기 위해 요청 처리를 제어하는 폭넓은 작업을 수행할 수 있습니다.

본문에서는 ASP.NET 2.0 멤버쉽 시스템이 제공해주는 강력한 공급자-기반 신원 증명 기반구조 같이, 임의의 신원 증명 저장소를 사용해서 기본 인증을 수행하는 기능을 구현한 관리되는 모듈로 서버를 확장하는 구체적인 방법을 살펴봅니다. 이 모듈은 IIS 7이 기본으로 제공해주는 윈도우 신원 증명 저장소와 밀접하게 결합된 내장 기본 인증 기능을 대체해서, 임의의 신원 증명 저장소를 지원하거나 ASP.NET 2.0과 함께 제공되는 SQL 서버나 SQL 익스프레스, 또는 액티브 디렉터리 등의 멤버쉽 공급자를 지원하는 기본 인증을 사용할 수 있게 해줍니다. *

본문에서는 다음과 같은 내용들을 살펴봅니다:

• ASP.NET API를 사용해서 관리되는 모듈을 개발해봅니다.
• 관리되는 모듈을 서버에 배포해봅니다.

만약, IIS 7 모듈이나 헨들러 개발에 관한 기본적인 내용들을 살펴보고 싶다면 .NET 프레임워크를 사용해서 IIS 7 모듈 및 헨들러 개발하기를 살펴보시기 바랍니다.

그리고, 필자의 블로그(http://www.mvolo.com/)에서 IIS 7 모듈 개발에 대한 다양한 자료와 팁을 살펴보거나, 응용 프로그램에 적용할 수 있는 여러 가지 IIS 7 모듈들을 다운로드 받을 수 있습니다. 가령, HttpRedirection 모듈을 사용해서 응용 프로그램에 대한 요청 리디렉션하기, DirectoryListingModule 모듈을 사용해서 세련된 IIS 웹 사이트 디렉터리 목록 출력하기, IconHandler를 사용해서 세련된 ASP.NET 응용 프로그램 파일 아이콘 출력하기, 그리고 IIS 와 ASP.NET을 사용해서 핫-링크 막기 등을 살펴보시기 바랍니다. **

노트: 본문에서는 C#으로 작성된 코드가 제공됩니다.

전제조건

본문의 모든 과정을 따라해보려면 다음과 같은 IIS 기능들이 설치되어 있어야 합니다.

ASP.NET

윈도우 비스타에서는 제어판을 통해서 ASP.NET을 설치합니다. 제어판을 열고 "프로그램" - "Windows 기능 사용/사용 안 함"을 실행합니다. 그리고, "인터넷 정보 서비스" - "World Wide Web 서비스" - "응용 프로그램 개발 기능" 노드를 확장하고 "ASP.NET" 항목을 선택합니다.

롱혼 서버를 사용중이라면 서버 관리자를 실행하고 "Manage Roles" 노드를 열어서 "Web Server (IIS)" 노드를 선택합니다. "Add role services" 링크 버튼을 클릭한 다음, "Application Development" 노드의 "ASP.NET" 항목을 선택합니다.

기본 인증에 대한 배경 지식

기본 인증은 HTTP1.1 프로토콜(RFC 2617)에 정의된 인증 체계의 하나입니다. 기본 인증은 다음과 같이 고수준에서 이루어지는 표준 챌린지 기반 메커니즘을 사용합니다: *

1. 브라우저가 특정 URL에 대한 신원 정보가 존재하지 않는 요청을 생성합니다.
2. 만약, 지정한 URL이 인증을 요구한다면 서버는 헤더에 401 접근 제한 메시지와 기본 인증 체계를 지원한다는 지시자가 추가된 응답을 생성합니다.
3. 브라우저가 이 응답을 받으면 설정 상태에 따라 사용자 이름과 비밀번호를 입력하는 프롬프트를 출력하고, 이 신원 정보는 다음 요청시에 요청 헤더 내부에 평문으로 포함됩니다.
4. 마지막으로 서버는 헤더에 포함된 사용자 이름과 비밀번호를 이용해서 인증을 시도합니다.

노트: 인증 프로토콜에 대한 복잡한 설명은 본문의 범위를 벗어나는 일이기는 하지만, 기본 인증 체계가 사용자 이름과 비밀번호를 평문으로 전송하기 때문에 보안을 위해서는 SSL을 필요로 한다는 점은 한 번 깊이 생각해볼만한 가치가 있습니다. **

기본적으로 IIS 7 및 그 하위 버전에는 로컬 계정 저장소에 저장된 윈도우 계정이나, 액티브 디렉터리에 저장된 윈도우 계정을 지원하는 기본 인증 기능이 포함되어 있습니다. 본문에서 구현하게 될 모듈은 기본 인증을 사용해서 사용자 인증을 처리하기는 하지만 윈도우 계정이 아니라 ASP.NET 2.0 멤버쉽 서비스를 사용하게 될 것입니다. 이 기능은 사용자 정보를 윈도우 계정에 얽매이지 않고 SQL 서버 등의 기존 멤버쉽 공급자에 저장할 수 있는 자유를 줄 것입니다.

작업 1: .NET 을 사용한 모듈 개발

이번 작업에서는 HTTP1.1 기본 인증 체계를 지원하는 기본 인증 모듈을 개발해보려고 합니다. 이 모듈은 ASP.NET v1.0 시절부터 ASP.NET 모듈 작성을 위해서 사용해왔던 패턴과 동일한 표준 ASP.NET 모듈 패턴을 통해서 개발될 것이며 결과적으로는 IIS 7 서버를 확장하게 됩니다. 또한, 구버전의 IIS를 대상으로 작성된 기존 모듈도 IIS 7에서 사용 가능할뿐만 아니라, 해당 모듈을 사용하는 응용 프로그램도 향상된 ASP.NET 통합 모드가 제공하는 강력한 이점들을 누릴 수 있습니다.

노트: 모듈의 전체 코드는 부록 A에서 제공됩니다.

관리되는 모듈은 System.Web.IHttpModule 인터페이스를 구현한 .NET 클래스입니다. 이 클래스의 가장 중요한 기능은 IIS 요청 처리 파이프라인에서 발생되는 이벤트들 중 하나 이상의 이벤트에 이벤트 헨들러를 등록하고, IIS가 해당 이벤트에 연결된 모듈의 이벤트 헨들러를 실행할 때 일련의 의미있는 작업들을 처리하는 것입니다.

그러면, "BasicAuthenticationModule.cs"라는 이름으로 새로운 소스 파일을 생성하고 모듈 클래스를 생성합니다. (전체 소스 코드는 부록 A에서 제공됩니다):

public class BasicAuthenticationModule : System.Web.IHttpModule
{
    void Init(HttpApplication context)
    {
    }

    void Dispose()
    {
    }
}

먼저, Init 메서드의 가장 중요한 기능은 모듈의 이벤트 헨들러를 적절한 요청 파이프라인 이벤트와 연결하는 것입니다. 각각의 이벤트 헨들러 메서드들은 모듈 클래스로부터 제공되고 모듈이 제공하고자 하는 실질적인 기능들을 구현하게 됩니다. 이 부분은 뒤에서 더 자세히 살펴보도록 하겠습니다.

그리고, Dispose 메서드는 모듈의 인스턴스가 제거될 때 모듈의 각종 상태를 정리하기 위해 사용됩니다. 그러나, 일반적으로 모듈에서 별도로 해제가 필요한 특정 리소스가 사용되지 않는 한 이 메서드는 구현되지 않는 경우가 많습니다. *

Init()

모듈 클래스를 생성했다면 먼저 Init 메서드를 구현해야 합니다. 이 메서드가 수행하게 될 유일한 작업은 하나 이상의 요청 파이프라인 이벤트를 등록하는 것입니다. 이 작업은 System.EventHandler 델리게이트의 시그니처를 구현한 모듈 메서드들을 System.Web.HttpApplication의 인스턴스가 노출하는 이벤트들 중에서 적절한 이벤트에 연결함으로서 이뤄집니다:

public void Init(HttpApplication context)      
{
    //          
    // Subscribe to the authenticate event to perform the 
    // authentication. 
    // 
    context.AuthenticateRequest += new EventHandler(this.AuthenticateUser);
    
    // 
    // Subscribe to the EndRequest event to issue the 
    // challenge if necessary. 
    // 
    context.EndRequest += new EventHandler(this.IssueAuthenticationChallenge);
}

여기에서 AuthenticateUser 메서드는 모든 요청에 대해 AuthenticateRequest 이벤트가 발생할 때마다 실행됩니다. 요청에 포함된 신원 정보를 사용해서 사용자를 인증하기 위해 이 메서드를 사용할 것입니다.

그리고, IssueAuthenticationChallenge 메서드는 모든 요청에 대해 EndRequest 이벤트가 발생할 때마다 실행됩니다. 이 메서드는 인증 모듈에 의해 요청이 거부되어 인증이 필요할 때마다 클라이언트에게 기본 인증 챌린지를 발급하는 작업을 담당하게 됩니다.

AuthenticateUser()

그러면, AuthenticateUser 메서드를 구현해보겠습니다. 이 메서드는 다음과 같은 작업을 수행합니다:

1. 전송된 요청의 헤더에 기본 인증 정보가 존재하는 경우 해당 정보를 추출해냅니다. 이 작업의 실제 구현은 ExtractBasicAuthenticationCredentials 메서드를 참고하십시오.
2. 멤버쉽(기본 멤버쉽 공급자로 설정된)을 이용해서 제공된 신원 정보의 유효성을 검증합니다. 이 작업의 실제 구현은 ValidateCredentials 메서드를 참고하십시오.
3. 인증에 성공하면 사용자를 증명하는 사용자 보안 주체를 생성하고 이를 요청과 연결합니다.

만약, 기본 인증 모듈이 성공적으로 사용자의 신원 정보를 얻고 유효성을 검증하면, 처리 과정의 마지막 부분에서 추후에 다른 모듈이나 응용 프로그램 코드가 접근 제어에 대한 결정을 내릴때 참고할 수 있는 인증된 사용자의 보안 주체를 생성합니다. 가령, 파이프라인의 다음 이벤트로 설정되어 있는 URL 인증 모듈은 응용 프로그램에 의해 설정된 인증 규칙을 적용하기 위해 여기에서 생성된 사용자 보안 주체를 사용할 수 있습니다.

IssueAuthenticationChallenge()

이번에는 IssueAuthenticationChallenge 메서드를 구현합니다. 이 메서드는 다음과 같은 작업을 수행합니다:

1. 요청이 거부되었는지를 파악하기 위해 응답 상태 코드를 점검합니다.
2. 만약, 요청이 거부되었다면 응답에 기본 인증 챌린지 헤더를 기록하여 클라이언트측 인증 과정을 유도합니다.

유틸리티 메서드

마지막으로 모듈 내부에서 사용되는 다음과 같은 유틸리티 메서드들을 구현해봅니다:

• ExtractBasicCredentials 메서드. 이 메서드는 인증 요청 헤더로부터 기본 인증 체계에 따라 기본 인증 신원 정보를 추출합니다.
• ValidateCredentials 메서드. 이 메서드는 멤버쉽을 사용해서 사용자의 신원 정보 유효성을 검증합니다. 멤버쉽 API는 기반 신원 증명 저장소를 추상화해주고 구성 설정을 통해 멤버쉽 공급자를 추가하거나 제거해서 신원 증명 저장소 구현을 설정할 수 있게 해줍니다.

노트: 본문에서는 멤버쉽을 통한 유효성 검사에 대해서는 설명하지 않으며 모듈에서는 단지 사용자 이름과 비밀번호가 모두 "test"인지 여부만 점검합니다. 이는 본문이 다루는 핵심적인 내용에만 집중하기 위한 것으로 실제 제품 배포시에는 이렇게 하면 안됩니다. 응용 프로그램의 멤버쉽 공급자를 구성하고 주석처리 되어 있는 ValidateCredentials 메서드 내의 멤버쉽 관련 코드에서 주석처리를 제거하기만 하면 간단하게 멤버쉽-기반 신원 정보 검증을 활성화할 수 있습니다. 이 방법에 대한 보다 자세한 설명은 부록 C에서 제공됩니다. **

작업 2: 응용 프로그램에 모듈 배포하기

이번에는 이전 단계에서 작성한 모듈을 응용 프로그램에 배포해 보겠습니다.

응용 프로그램에 배포하기

응용 프로그램에 모듈을 배포합니다. 다음은 배포시 선택할 수 있는 옵션들입니다:

• 모듈을 구현한 소스 파일을 응용 프로그램의 /App_Code 디렉터리에 복사합니다. 이 방식은 모듈을 컴파일할 필요가 없으며 응용 프로그램이 시작될 때 ASP.NET이 자동적으로 모듈을 컴파일하고 로드합니다. 별다른 처리없이 단지 소스 코드를 BasicAuthenticationModule.cs라는 이름으로 응용 프로그램의 /App_Code 디렉터리에 저장합니다. 다른 방식에 익숙하지 않다면 이 방식을 선택하면 됩니다.
• 모듈을 별도의 어셈블리로 컴파일하고 응용 프로그램의 /BIN 폴더에 복사합니다. 이 방식은 응용 프로그램에서 모듈을 사용하고는 싶지만 모듈의 소스 코드는 포함시키고 싶지 않을 때 선택할 수 있는 가장 일반적인 방법입니다. 다음 명령어를 명령 프롬프트에서 실행시키면 모듈 소스 파일을 컴파일 할 수 있습니다:

  <PATH_TO_FX_SDK>csc.exe /out:BasicAuthenticationModule.dll /target:library BasicAuthenticationModule.cs

  여기서 <PATH_TO_FX_SDK>는 CSC.EXE 컴파일러가 위치한 .NET 프레임워크 SDK의 경로입니다.
• 모듈을 강력한 이름의 어셈블리로 컴파일하고 GAC에 등록합니다. 이 방식은 하나의 머신에서 모듈을 사용하는 복수의 응용 프로그램을 운영하고자 하는 경우 유용합니다. 강력한 이름의 어셈블리를 구축하는 방법에 대한 보다 자세한 내용은 MSDN 문서를 참고하시기 바랍니다.

그리고, 응용 프로그램의 Web.config 파일 구성 설정을 변경해서 모듈을 구성하기 전에, 먼저 기본적으로 서버 수준에서 잠겨져 있는 일부 구성 설정 섹션의 잠금을 해제해야 합니다. 권한이 상승된 명령 프롬프트에서 다음의 명령어를 실행합니다. (시작 메뉴에서 명령 프롬프트를 마우스 오른쪽 버튼으로 클릭하고 "관리자 권한으로 실행" 을 선택합니다): *

%windir%\system32\inetsrv\APPCMD.EXE unlock config /section:windowsAuthentication
%windir%\system32\inetsrv\APPCMD.EXE unlock config /section:anonymousAuthentication

이 명령어를 실행하면 응용 프로그램의 Web.config 파일에 해당 구성 설정 섹션을 정의할 수 있게 됩니다.

이제 모듈이 실행되도록 응용 프로그램에 모듈을 구성합니다. 새로운 모듈을 활성화시키고 사용하기 위해 필요한 구성 설정을 포함하고 있는 새로운 Web.config 파일을 생성합니다. 이 파일에 다음의 내용들을 추가하고 응용 프로그램의 루트에 저장합니다. (만약, 기본 웹 사이트의 루트 응용 프로그램을 테스트에 사용중이라면 그 경로는 %systemdrive%\inetpub\wwwroot\web.config 파일이 됩니다.)

<configuration> 
  <system.webServer> 
    <modules> 
    </modules> 
    <security> 
      <authentication> 
        <windowsAuthentication enabled="false"/> 
        <anonymousAuthentication enabled="false"/> 
      </authentication> 
    </security> 
  </system.webServer> 
</configuration>

그리고, 새로운 기본 인증 모듈을 활성화시키기 전에 다른 IIS 인증 모듈들을 모두 비활성화시키는 것이 좋습니다. 기본적으로는 윈도우 인증과 익명 인증만 활성화되어 있습니다. 여기에서는 웹 브라우저가 윈도우 신원 정보와 익명 사용자로 인증을 시도하는 상황을 원하지 않기 때문에 윈도우 인증 모듈과 익명 인증 모듈을 모두 비활성화시킬 것입니다.

이제, 응용 프로그램에 의해서 로딩될 모듈 목록에 새로운 모듈을 추가함으로서 모듈을 활성화시킬 수 있습니다. 이를 위해서, 다시 한 번 Web.config 파일을 열고 <modules> 태그에 다음 항목을 추가합니다:

<add name="MyBasicAuthenticationModule" type="IIS7Demos.BasicAuthenticationModule" /> 

아니면, IIS 7 관리자 도구나 APPCMD.EXE 명령 프롬프트 도구를 사용해서 응용 프로그램에 모듈을 배포할 수도 있습니다. 지금까지 설명한 내용들이 반영된 응용 프로그램의 Web.config 파일의 최종 내용은 부록 B 에 제공됩니다. 축하합니다, 이제 사용자 정의 기본 인증 모듈의 구성이 모두 끝났습니다.

이제 테스트를 해보겠습니다! 인터넷 익스플로러를 열고 다음과 같이 응용 프로그램에 대한 요청을 작성합니다: **

http://localhost/

그러면, 아마도 기본 인증 로그인 대화 상자가 나타날 것입니다. 로그인을 해보려면 "사용자 이름:" 필드와 "암호:" 필드에 "test"를 입력하십시오. 만약, 응용 프로그램에 HTML이나 JPG, 또는 다른 어떤 종류의 컨텐츠들이 추가되더라도 새로운 기본 인증 모듈에 의해 보호된다는 점을 기억하시기 바랍니다.

요약

본문에서는 응용 프로그램을 위해 사용자 정의 관리되는 모듈을 작성하고 배포하는 방법과 해당 모듈이 응용 프로그램의 모든 요청에 대해 서비스되도록 활성화시키는 방법을 살펴봤습니다.

그리고, 관리되는 코드를 사용한 서버 컴포넌트 개발의 강력함을 직접 목격했습니다. 이는 윈도우 신원 증명 저장소에 구애받지 않는 기본 인증 서비스를 개발할 수 있도록 해줍니다.

만약, 더욱 다양한 시도를 해보고 싶다면 이 모듈을 구성 설정에 기반한 신원 증명 저장소를 지원하는 ASP.NET 2.0 멤버쉽 응용 프로그램 서비스를 이용하도록 구성할 수도 있습니다. 보다 자세한 정보는 부록 C를 참고하십시오. *

그리고, 필자의 블로그(http://www.mvolo.com/)에서 IIS 7 모듈 개발에 대한 다양한 자료와 팁을 살펴보거나, 응용 프로그램에 적용할 수 있는 여러 가지 IIS 7 모듈들을 다운로드 받을 수 있습니다. 가령, HttpRedirection 모듈을 사용해서 응용 프로그램에 대한 요청 리디렉션하기, DirectoryListingModule 모듈을 사용해서 세련된 IIS 웹 사이트 디렉터리 목록 출력하기, IconHandler를 사용해서 세련된 ASP.NET 응용 프로그램 파일 아이콘 출력하기, 그리고 IIS 와 ASP.NET을 사용해서 핫-링크 막기 등을 살펴보시기 바랍니다.

부록 A: 기본 인증 모듈 소스 코드

간단한 배포를 원하신다면 다음의 소스 코드를 BasicAuthenticationModule.cs라는 이름으로 응용 프로그램의 /App_Code 디렉터리에 저장하십시오.

노트: 만약 메모장을 사용중이라면 파일명이 BasicAuthenticationModule.cs.txt 등과 같이 저장되는 것을 피하기 위해 "다른 이름으로 저장" 메뉴를 사용하시기 바랍니다.

#region Using directives
using System;
using System.Collections;
using System.Text;
using System.Web;
using System.Web.Security;
using System.Security.Principal;
using System.IO;
#endregion
 
namespace IIS7Demos
{
    /// 
    /// This module performs basic authentication. 
    /// For details on basic authentication see RFC 2617. 
    /// 
    /// The basic operational flow is: 
    /// 
    ///     On AuthenticateRequest: 
    ///         extract the basic authentication credentials 
    ///         verify the credentials 
    ///         if succesfull, create the user principal with these credentials 
    /// 
    ///     On SendResponseHeaders: 
    ///         if the request is being rejected with an unauthorized status code (401), 
    ///         add the basic authentication challenge to trigger basic authentication. 
    ///       
    /// 
    
    public class BasicAuthenticationModule : IHttpModule
    {
        #region member declarations
        public const String     HttpAuthorizationHeader = "Authorization";  // HTTP1.1 Authorization header 
        public const String     HttpBasicSchemeName = "Basic"; // HTTP1.1 Basic Challenge Scheme Name 
        public const Char       HttpCredentialSeparator = ':'; // HTTP1.1 Credential username and password separator 
        public const int        HttpNotAuthorizedStatusCode = 401; // HTTP1.1 Not authorized response status code 
        public const String     HttpWWWAuthenticateHeader = "WWW-Authenticate"; // HTTP1.1 Basic Challenge Scheme Name 
        public const String     Realm = "demo"; // HTTP.1.1 Basic Challenge Realm 
        #endregion
    
        #region Main Event Processing Callbacks
        public void AuthenticateUser(Object source, EventArgs e)
        {
            HttpApplication application = (HttpApplication)source;
            HttpContext context = application.Context;
            String userName = null;
            String password = null;
            String realm = null;
            String authorizationHeader = context.Request.Headers[HttpAuthorizationHeader];
    
            // 
            //  Extract the basic authentication credentials from the request 
            // 
            if (!ExtractBasicCredentials(authorizationHeader, ref userName, ref password))
                return;
            // 
            // Validate the user credentials 
            // 
            if (!ValidateCredentials(userName, password, realm))
               return;
    
            // 
            // Create the user principal and associate it with the request 
            // 
            context.User = new GenericPrincipal(new GenericIdentity(userName), null);
        }
    
        public void IssueAuthenticationChallenge(Object source, EventArgs e)
        {
            HttpApplication application = (HttpApplication)source;
            HttpContext context = application.Context;
    
            // 
            // Issue a basic challenge if necessary 
            // 
            if (context.Response.StatusCode == HttpNotAuthorizedStatusCode)
            {
                context.Response.AddHeader(HttpWWWAuthenticateHeader, "Basic realm =\"" + Realm + "\"");
            }
        }
        #endregion
    
        #region Utility Methods
        protected virtual bool ValidateCredentials(String userName, String password, String realm)
        {
            // 
            //  Validate the credentials using Membership (refault provider) 
            // 
            // NOTE: Membership is commented out for clarity reasons.   
            // !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
            // WARNING: DO NOT USE THE CODE BELOW IN PRODUCTION 
            // !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
            // return Membership.ValidateUser(userName, password); 
            if (userName.Equals("test") && password.Equals("test"))
            {
                return true;
            }
            else 
            {
                return false;
            }    
        }

        protected virtual bool ExtractBasicCredentials(String authorizationHeader, ref String username, ref String password)
        {
            if ((authorizationHeader == null) || (authorizationHeader.Equals(String.Empty)))
               return false;

            String verifiedAuthorizationHeader = authorizationHeader.Trim();
            if (verifiedAuthorizationHeader.IndexOf(HttpBasicSchemeName) != 0)     
                return false;
    
            // get the credential payload 
            verifiedAuthorizationHeader = verifiedAuthorizationHeader.Substring(HttpBasicSchemeName.Length, verifiedAuthorizationHeader.Length - HttpBasicSchemeName.Length).Trim();

            // decode the base 64 encoded credential payload 
            byte[] credentialBase64DecodedArray = Convert.FromBase64String(verifiedAuthorizationHeader);
            UTF8Encoding encoding = new UTF8Encoding();
            String decodedAuthorizationHeader = encoding.GetString(credentialBase64DecodedArray, 0, credentialBase64DecodedArray.Length);
    
            // get the username, password, and realm 
            int separatorPosition = decodedAuthorizationHeader.IndexOf(HttpCredentialSeparator);
    
            if (separatorPosition <= 0)
                return false;
            username = decodedAuthorizationHeader.Substring(0, separatorPosition).Trim();
            password = decodedAuthorizationHeader.Substring(separatorPosition + 1, (decodedAuthorizationHeader.Length - separatorPosition - 1)).Trim();
    
            if (username.Equals(String.Empty) || password.Equals(String.Empty))
                 return false;
    
            return true;
        }
        #endregion
    
        #region IHttpModule Members
        public void Init(HttpApplication context)
        {
            // 
            // Subscribe to the authenticate event to perform the 
            // authentication. 
            // 
            context.AuthenticateRequest += new  EventHandler(this.AuthenticateUser);

            // 
            // Subscribe to the EndRequest event to issue the 
            // challenge if necessary. 
            // 
            context.EndRequest += new EventHandler(this.IssueAuthenticationChallenge);
        }

        public void Dispose()
        {
            // 
            // Do nothing here 
            // 
        }
        #endregion
    
    }
}

부록 B: 기본 인증 모듈을 위한 Web.config

다음 구성 설정을 여러분들의 응용 프로그램 루트의 Web.config 파일에 저장합니다:

<configuration> 
  <system.webServer> 
    <modules> 
      <add name="MyBasicAuthenticationModule" type="IIS7Demos.BasicAuthenticationModule" /> 
    </modules> 
    <security> 
      <authentication> 
        <windowsAuthentication enabled="false"/> 
        <anonymousAuthentication enabled="false"/> 
      </authentication> 
    </security> 
  </system.webServer> 
</configuration> 

부록 C: 멤버쉽 구성

ASP.NET 2.0 멤버쉽 서비스는 대부분의 인증 및 접근 제어 체계에서 요구되는 신원 증명 유효성 검증과 사용자 관리 기능을 응용 프로그램이 신속하게 구현할 수 있도록 도와줍니다. 멤버쉽은 응용 프로그램의 코드를 실질적인 신원 증명 저장소 구현과 격리시켜주며 기존 신원 증명 저장소와의 통합을 위한 몇 가지 옵션을 제공해줍니다.

본문의 모듈 예제에서 멤버쉽을 이용하려면 주석을 제거하기만 하면 됩니다. 즉, ValidateCredentials 메서드에서 ValidateUser 메서드를 호출하는 부분의 주석을 제거하고 응용 프로그램의 멤버쉽 공급자를 구성하면 됩니다. 멤버쉽을 구성하는 방법에 대한 보다 자세한 정보는 이 MSDN 문서를 참고하시기 바랍니다.