在创建代码组的过程中，简要熟悉了代码组的成员条件，在安全策略的实施过程中，可以认为，所有符合该代码组成员条件的程序集都属于该代码组。成员条件的实现形式是类型，每种成员条件对应一种类型。

“所有代码”表示匹配所有代码的成员条件，该成员条件的实现类是AllMembershipCondition类。该成员条件通常用于策略级别的根代码组，以便将该策略应用于所有代码。AllMembershipCondition的类定义如代码清单4-6所示。

代码清单2-1  AllMembershipCondition类定义

AllMembershipCondition类继承了三个接口：

IMembershipCondition接口：定义测试以确定代码程序集是否是代码组的成员。该接口的Check方法用来确定指定的证据是否能满足成员条件。

ISecurityEncodable接口：定义使权限对象状态与 XML 元素表示形式进行相互转换的方法。任何自定义权限都必须实现此接口。该接口的FromXml方法用 XML 编码重新构造具有指定状态的安全对象，ToXml方法创建安全对象及其当前状态的 XML 编码。

ISecurityPolicyEncodable接口：支持使权限对象状态与 XML 元素表示形式进行相互转换的方法。该接口与ISecurityEncodable接口相似，不同的是它包含策略级上下文，解析对命名权限集的引用时需要策略级上下文信息。ISecurityPolicyEncodable接口也提供了FromXml和ToXml方法，功能与ISecurityEncodable接口相同。

“应用程序目录”成员条件通过测试程序集的应用程序目录确定该程序集是否属于代码组。该成员条件的实现类是ApplicationDirectoryMembershipCondition 类，该类定义如代码清单2-2所示。

代码清单2-2  ApplicationDirectoryMembershipCondition 类定义

ApplicationDirectoryMembershipCondition可确定 ApplicationDirectory 属性是否包含程序集 URL 证据路径。例如，如果 ApplicationDirectory 是 C:\app1，则具有 URL 证据的程序集（例如C:\app1、C:\app1\main.aspx、C:\app1\folder1 或 C:\app1\folder1\main1.aspx）符合该成员条件。不在C:\app1 目录中或其子目录之一中的代码未能通过成员条件测试。没有 ApplicationDirectory 或 URL 证据的代码总是不能通过成员条件测试。

“哈希”成员条件通过测试程序集的哈希值确定该程序集是否属于代码组。该成员条件的实现类是HashMembershipCondition类，该类的定义如代码清单4-8所示。

代码清单2-3  HashMembershipCondition类定义

HashMembershipCondition类比AllMembershipCondition类多实现了两个接口：

ISerializable接口：允许对象控制其自己的序列化和反序列化过程。

IDeserializationCallback接口：指示在完成整个对象的反序列化时的通知类。

“发行者”成员条件通过测试程序集的软件发行者 Authenticode X.509v3 证书确定程序集是否属于代码组。该成员条件的实现类是PublisherMembershipCondition类，该类的定义如代码清单2-3所示。

代码清单2-3 PublisherMembershipCondition类定义

PublisherMembershipCondition类有一个名为Certificate的公共属性，用类获取或设置要针对其测试成员条件的 Authenticode X.509v3 证书。

“站点”成员条件通过测试从其中产生程序集的站点以确定该程序集是否属于代码组，其中代码可出自 HTTP站点、HTTPS 站点和 FTP 站点。该成员条件的实现类为SiteMembershipCondition类，该类的定义如代码清单2-4所示。

代码清单2-4  SiteMembershipCondition类定义

如果该代码源于由 Site 指定的网站，则代码程序集满足站点成员条件。站点是位于 URL 协议标识符后面的“//”和后面的“/”（如果存在）之间的字符串。例如，www.xuanhun.com 是 URL http://www.xuanhun.com/process/grind.htm 的站点标识，这不包括端口号。如果给定的 URL 是http://www.xuanhun.com:8000/，则站点为 www.xuanhun.com，而非 www.fourthcoffee.com:8000。

站点可以完全匹配，也可以通过在点分隔符位置使用通配符（“*”）前缀进行匹配。例如，站点名称*.xuanhun.com 与 xuanhun.com 和 www.xuanhun.com 匹配。如果没有通配符，则站点名称必须是精确匹配。站点名称 * 将与所有站点匹配，但不会与无站点证据的代码匹配。

“强名称”成员条件通过测试程序集的强名称确定该程序集是否属于代码组。该成员条件的实现类为StrongNameMembershipCondition类，该类的定义如代码清单2-5所示。

代码清单2-5  StrongNameMembershipCondition类定义

强名称非常适合于指定你给予了大量的、非常大权限的代码程序集。由于强名称以加密方式验证，所以，攻击者无法模拟合法的程序集和使用它们的权限。

该类提供了三个属性：

Name属性用来获取或设置要针对其测试成员条件的 StrongName 的简单名称。

PublicKey属性用来获取或设置要针对其测试成员条件的 StrongName 的 StrongNamePublicKeyBlob。

Version属性用来获取或设置要针对其测试成员条件的 StrongName 的 Version。

“URL”成员条件通过测试程序集的URL确定该程序集是否属于代码组。该成员条件的实现类是UrlMembershipCondition类，该类的定义如代码清单2-6所示。

代码清单2-6 UrlMembershipCondition类定义

可以使用完整的 URL作为条件，包括协议（HTTP、HTTPS、FTP）和文件。例如，http://www.fourthcoffee.com/process/grind.htm 就是一个完整的 URL。

也可在最后一个位置使用通配符来匹配。例如，http://www.fourthcoffee.com/process/* 就是一个含通配符的 URL。

UrlMembershipCondition类含有一个公共属性Url用来获取或设置要针对其测试成员条件的 URL。

“区域”成员条件通过测试程序集的原始区域确定该程序集是否属于代码组。该成员条件的实现类为ZoneMembershipCondition类，该类的定义如代码清单2-7所示。

代码清单2-7  ZoneMembershipCondition类定义

ZoneMembershipCondition类只能在源于特定区域的 .NET 程序集和 Web 服务中使用。例如MyComputer、Intranet 和Internet这些区域。

通过代码访问安全策略工具来更改代码组成员条件的方法如下：

其中，使用chggroup命令更改标签为1.2.1的代码组的区域为Internet。

仍然可以使用.NET Framework配置工具来修改代码组的成员条件。

本文转自悬魂博客园博客，原文链接：http://www.cnblogs.com/xuanhun/archive/2012/06/23/2559398.html，如需转载请自行联系原作者