创建安全的Web应用程序是一项极具挑战性的工作。应用程序的安全性取决于它最薄弱的环节，任何成功的应用程序安全策略的基础都是稳固的身份验证和授权手段，以及提供机密数据的保密性和完整性的安全通信。安全通信是分布式应用程序保护工作中不可或缺的部分，保护分布式应用程序的目的是保护机密数据，这些数据包括传递到应用程序和从应用程序传出的凭据，以及在应用程序的各层之间传递的凭据。而一开始就设计使用身份验证和授权会大大减少应用程序安全事件的发生率。 本文主要从以下三方面论述了如何综合利用动态网页ASP.NET技术、HTML与XML技术、ADO.NET数据访问技术、SQLServer2000数据库技术、密码技术在基于WEB平台上的学籍管理系统中实现稳固的身份验证和授权手段，以及机密数据的保密。 一、为了降低应用程序的风险，笔者没有将口令原码存储在数据库中，而是采用UNIX的口令认证方式来作Web应用认证，在Windows平台上先将口令用SHA1散列，再把加salt的SHA1散列值存储到数据库中以增加攻击者对受保护数据发起强力字典攻击时所花费的工作量，以提高基于表单身份验证的口令安全性。 二、通过窗体身份验证后创建包括用户标识名的GenericPrincipal对象，实现基于角色的URL授权，从而方便、安全地进行权限分配。 三、通过系统合法用户共享系统安全存储的非对称RSA密钥实现教师信息表关键字段信息的加密解密，结合基于角色的授权，实现了机密数据的保密。 最后，对本论文的工作进行总结，并提出了进一步努力的方向。