Active User Objects和The Membership Directory

在網站的編程技術中我們經常遇到的問題是如何跟蹤用戶的信息，特別
是當用戶數量高達數百萬的時候，可以很方便的管理用戶并且還要求
服務器的高性能。下面介紹到將使用AUO(Active User Objects)技術來實現這個功能。

一些基本的概念簡介：
首先一個基礎是我們采用的解決方案是我們使用了微軟提供的Microsoft Membership Directory，
它是跟隨Site Server一起安裝的。一旦安裝了Site Server，你將擁有能夠管理百萬級用戶量
和優化訪問量極其頻繁的情況了。
這個具體的技術細節可以參閱Site Server的文檔，現在我們只是初步了解這個技術。
在MMD（Microsoft Membership Directory）下面的技術就是LDAP,LDAP是一個用來查詢和
管理對象數據庫的協議標準。該標準提供了一個用來存儲和獲取信息的目錄。
而微軟提供了訪問這種目錄結構的機制--ADSI (Active Directory Service Interfaces)，ADSI
提供一個COM對象模型來管理目錄中的項目，同時ADSI還能夠訪問其它的一些目錄服務結構，例如
NT的安全數據庫，Novell的DSN目錄等等，這些我在前面的文章中也提到過好多次了。
這里再補充一點的是，使用ADSI還可以訪問ADO來調用關系數據庫中的數據。
現在簡單的介紹一下AUO(Active User Objects,活動用戶對象)。作為Site Server的另一部分，
它給我們提供了一個簡單的通過ASP獲取網站訪問者和這些訪問者信息的機制，這些信息都保存在一個或者
多個datastores（也被稱作AUO providers）中。
注意的是主AUO provider通常為Membership Directory，而我們使用ADSI來訪問的一般都被稱為
次secondary AUO provider（并且用戶的數據都是保存在這些數據庫中）.
你能夠想象得到，保存多個用戶的信息就意味著要有安全設置的功能。
現在這篇文章的興趣主要在于如何約束和獲取訪問我們網站的方法上。

網站的安全問題
當一個用戶匿名訪問一個網頁時，一般他們使用權限的就是一個匿名用戶的權限，默認的是IUSR_systemname
并且他們所擁有的權限也僅僅是在NT中給用戶帳號IUSR_systemname設置的權限。
一旦網站資源沒有被給予匿名帳號訪問的權限，那么該訪問將被拒絕。
下面有幾個方法來讓一個對話不是運行在匿名帳號下，而是使用一個已經存在的用戶帳號來建立對話。
例如，當IIS設置為使用Membership Directory, 將使用兩種驗證機制：
 Windows NT 驗證 用戶必須有一個NT帳號和密碼
 Membership 驗證 用戶必須有一個Membership Directory帳號和密碼
除了安全因素要考慮外，我們還必須考慮到其他一些因素，例如用戶在擁有合法帳號前必須輸入的其它一些個人信息。
我們就要考慮到這時用戶在匿名帳號時就應該具備輸入這些信息的權限。
要支持這個受限制的權限，我們可以很方便的使用Site Server的Membership Authentication
的cookie來實現。當然這時用戶的瀏覽器必須要支持cookie了。