Аутентификация и авторизация
Важная часть многих web-приложений — возможность контролировать доступ к ресурсам. Безопасность проекта вращается вокруг двух концепций — аутентификации и авторизации. Аутентификация — процесс определения личности пользователя. Авторизация — процесс определения прав пользователя на доступ к определенным ресурсам, на просмотр некоторых разделов, на возможность редактирования информации и так далее.
Для авторизации пользователь вводит пользовательское имя, под которым зарегистрирован(а), и пароль. После этого приложение определяет возможность доступа к ресурсам, а также может видоизменять как внешний вид с помощью тем, так и содержание генерируемых страниц. К примеру, в форуме записи могут показываться в виде дерева или линейно.
В ASP .NET 2.0 аутентификацией управляют с помощью службы Membership, которая позволяет определить различные виды членства на сайте. Информацию о членах можно хранить в различных местах — в базах данных, текстовых файлах или даже в учетных записях Windows. Конфигурировать членство можно индивидуально для каждого пользователя или на основе ролей с помощью сервиса Role Manager. Роли облегчают конфигурирование, так как можно создавать роли и потом добавлять пользователей к готовым ролям. Любому пользователю может принадлежать любое количество ролей.
По умолчанию службы используют провайдера AspNetSqlProvider. В таком случае ASP .NET автоматически создает базу данных ASPNETDB.MDF в директории проекта App_Data, когда запускается команда ASP.NET Configuration — или программно, или с помощью элементов управления группы Login задействуются службы Membership или Role Manager.
Служба Membership также обеспечена провайдером, работающим с Active Directory. Role Manager может работать с провайдером, связанным с Authorization Manager операционной системы Widnows 2003. API, связанное со службой, позволяет настроить ее и на использование пользовательского провайдера.
Роли имеют определенные права. Например, администратор сайта может изменять настройки, редактировать членство других пользователей. Обычный пользователь с ролью Friend может просмотреть частные альбомы администратора, а неавторизованный пользователь — только публичные. Эта модель реализована в приложении Starter Kit. В этом приложении роли создаются во время первого запуска:
void Application_Start(object sender, EventArgs e) { SiteMap.SiteMapResolve += new SiteMapResolveEventHandler(AppendQueryString); if (!Roles.RoleExists("Administrators")) Roles.CreateRole("Administrators"); if (!Roles.RoleExists("Friends")) Roles.CreateRole("Friends"); }
Из этого примера видно, что доступ к ролям можно получить с помощью класса Roles. Это не глобальная переменная, а статический класс, доступный из любого файла проекта. Создание роли выражается в том, что в базе ASPNETDB.MDF в таблице Roles появляется новая запись.
Создать пользователей и назначить им роли можно во встроенном приложении ASP .NET Configuration. Информация о пользователях хранится в таблицах aspnet_Users, aspnet_UsersInroles, aspnet_Membership. Пароли хранятся в зашифрованном с помощью хэш-функции виде.
Даже администратор не может его подсмотреть. Пароль, который вводится в момент аутентификации, тоже хэшируется и сравнивается со значением в базе. Хранение в незашифрованном виде — это угроза безопасности.
Любой пользователь может зарегистрироваться, но при этом не получит роли и у него не будет новых прав, пока администратор не назначит ему роли.
В этом приложении можно также создавать правила доступа.
Настройки конфигурации служб Membership и Role Manager, конечно же, записываются в файл Web.config:
<roleManager enabled="true" />
Таким образом включается служба Role Manager.
Элемент authentication mode определяет способ аутентификации. Если это Forms, то свои имя и пароль пользователь вводит в форме. В локальной сети (интранет) можно аутентифицировать пользователей по их учетной записи, тогда его значение ставится как Windows.
С помощью элемента authentication запускается служба Membership:
<authentication mode="Forms"> <forms loginUrl ="Login.aspx"/> </authentication>
Другие доступные значения — Passport и None.
При значении Passport пользователи авторизуются с помощью паспорта от Microsoft.
При аутентификации с помощью форм пользователи получают доступ к страницам в зависимости от данных, введенных на форме. До входа на сайт пользователь считается анонимным и используется анонимная аутентификация. После того, как он прошел аутентификацию, пользователь получает файл-cookie, который используется для последующих запросов.
Всего у элемента forms 8 возможных атрибутов:
| name | Определяет имя файла- cookie, который посылается пользователям после аутентификации. По умолчанию он называется .ASPXAUTH |
| loginUrl: | URL страницы, с которой можно войти в систему. По умолчанию это Login.aspx |
| protection: | Уровень защиты файла- cookie на пользовательской машине. Возможные значения — All, None, Encryption, и Validation |
| timeout: | Время, по истечении которого cookie устаревает. Значение по умолчанию — 30 минут |
| path: | Путь к файлам cookie |
| requireSSL: | Нужно ли шифровать данные по протоколу SSL |
| slidingExpiration: | Если True, то cookie устаревает через период времени timeout после последнего запроса. Иначе — через период времени timeout после создания |
| cookieless: | Место хранения идентификатора пользователя. Значение по умолчанию useDeviceProfile |
В данном случае это одна страница Admin.aspx. Первая часть авторизации разрешает доступ к ней пользователям в роли администратора Admin. Вторая запрещает доступ всем остальным пользователям.
Если элемент system.web находится в корневом узле файла, то вложенный в него узел authorization определяет настройки доступа ко всему сайту.
Когда неавторизованный пользователь пытается получить доступ к странице, открывается форма, определенная в атрибуте forms loginUrl. Если он введет имя и пароль пользователя, который имеет доступ к странице, то она откроется, иначе опять ему или ей будет показана форма логина.
Часто бывает нужно сконфигурировать с точки зрения безопасности систему навигации. Это значит, что меню не должно показывать те страницы, для просмотра которых пользователь не авторизован:
<siteMap defaultProvider="AspXmlSiteMapProvider" enabled="true"> <providers> <clear/> <add name="AspXmlSiteMapProvider" type="System.Web.XmlSiteMapProvider, System.Web, Version=2.0.3600.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" siteMapFile="web.sitemap" securityTrimmingEnabled="true"/> </providers> </siteMap>
Здесь атрибут securityTrimmingEnabled, установленный в true, заставляет провайдера карты сайта фильтровать узлы в зависимости от роли пользователя. Это значит, что в элементах навигации будут видны только доступные страницы.
Член User страницы позволяет получить доступ ко всей информации, касающейся текущего пользователя.
Метод IsInRole определяет, принадлежит ли пользователь к роли:
if (User.IsInRole("Admin")) Page.Title = "Hello, Administrator!";
Свойство Identity дает информацию об аутентификации пользователя:
if (User.Identity.IsAuthenticated) //выполнить код, если пользователь легален
User.Identity.AuthenticationType показывает способ авторизации, установленный в Web.config.
Можно ограничить доступ не только к страницам, но и к частям страниц.
Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий