160 likes | 315 Views
Serwery Aplikacji. Bezpieczeństwo w Aplikacjach .NET uruchamianych pod IIS. Dostęp dla nie zautoryzowanych użytkowników. Dostęp do części aplikacji, bez potrzeby logowania Nazwa konta dla użytkowników anonimowych: IUSER_machinename Konto dostępne w Panelu Zarządzania „ Computer Manegement ”.
E N D
Serwery Aplikacji Bezpieczeństwo w Aplikacjach .NET uruchamianych pod IIS ArkadiuszPopa, WMiI, UŁ
Dostęp dla nie zautoryzowanych użytkowników • Dostęp do części aplikacji, bez potrzeby logowania • Nazwa konta dla użytkowników anonimowych: IUSER_machinename • Konto dostępne w Panelu Zarządzania „Computer Manegement” Arkadiusz Popa, WMiI, UŁ
Dostęp dla zautoryzowanych użytkowników • Możliwość autentyfikacji i autoryzacji indywidualnych użytkowników • Są dostępne trzy główne sposoby autoryzacji: • Windows authentication – identyfikuje i autoryzuje użytkowników przez listę użytkowników serwera. Dostęp do danych jest oparty o przywileje konta użytkowników Arkadiusz Popa, WMiI, UŁ
Dostęp dla zautoryzowanych użytkowników • Form authentication – Kieruje użytkjowników do Formularza logowania. Autoryzuje użytkownika porównując dane wpisane przez niego z danymi zgromadzonymi w pliku, bazie. • Passport authentication – Kieruje użytkownika do strony hostowanej przez Microsoft, gdzie mogą się zarejestrować. Dzięki temu uzyskują dostęp do Strony internetowej. Autentyfikacjia odbywa się po stronie serwerów Microsoft. Arkadiusz Popa, WMiI, UŁ
Jaki typ wybrać … ? • Przykład 1 • TYP: Publiczna internetowa Web aplikacja • DOSTĘP: anonimowy • POWÓD: Nie wymagane logowanie • Przykład 2 • TYP: Prywatna Web aplikacja wewnątrz firmy • DOSTĘP: Windows authentification • POWÓD: Użytkownicy mogą używać loginów i haseł takich jak konta założone w lokalnym systemie sieciowym. Zarządzanie kontami odbywa się przez narzędzie Windows Arkadiusz Popa, WMiI, UŁ
Jaki typ wybrać … ? • Przykład 3 • TYP: Komercyjna Web aplikacja • DOSTĘP: Forms • POWÓD: Użytkownicy powinni móc tworzyć nowe konta bez względu na miejsce dostępu do aplikacji. • Przykład 4 • TYP: Wiele powiązanych (Multiple) komercyjnych Web aplikacji • DOSTĘP: Passport • POWÓD: Użytkownicy mogą założyć konto na jednej aplikacji i używać go na pozostałych Arkadiusz Popa, WMiI, UŁ
Dołączyć namespace. • Autentyfikacja Windows, Forms i Password używa klas, które można znaleźć w przestrzeni nazw: System.Web.Security Należy dodać tą przestrzeń nazw do każdego modułu który ma mieć wbudowaną autentyfikację: Arkadiusz Popa, WMiI, UŁ
Blokować dostęp - user • Dostęp do części aplikacji, która wymaga logowania, może zostać zablokowany dla wszystkich nie autentyfikowanych użytkowników. Arkadiusz Popa, WMiI, UŁ
Zezwolić na dostęp użytkownikom • Dostęp do części aplikacji, która wymaga logowania, może zostać przydzielony określonym użytkownikom. Natomiast zablokowany dla wszystkich nie autentyfikowanych użytkowników. • * oznacza zablokowanie dostępu innym użytkownikom Arkadiusz Popa, WMiI, UŁ
Zezwolić na dostęp wybranym rolom • Dostęp do części aplikacji, która wymaga logowania, może zostać przydzielony określonym rolom. Natomiast zablokowany dla wszystkich nie autentyfikowanych użytkowników. Arkadiusz Popa, WMiI, UŁ
Form Authentication Aby użyć Form Authentication należy wykonać następujące kroki: • Ustawić typ autentyfikacji na Form w Web.config • Stworzyć formularz do logowania (login i hasło) • Stworzyć plik lub bazę do gromadzenia informacji o użytkowniku • Napisać kod pozwalający na dodawania nowego użytkownika do pliku / bazy • Napisać kod do autentyfikacji użytkownika przy użyciu danych z pliku / bazy Arkadiusz Popa, WMiI, UŁ
Przypływ danych - Form Request: Welcome.aspx Response: LogIn.aspx Request: LogIn.aspx + dane (login, hasło) Response: Welcome.aspx + Cookie Arkadiusz Popa, WMiI, UŁ
Dane użytkownika Dane użytkownika mogą być gromadzone w: • Pliku Web.config – rozwiązanie wystarczające dla aplikacji gdzie dane dane użytkowników nie ulegają zmianie Arkadiusz Popa, WMiI, UŁ
Dane użytkownika • Pliku zewnętrznym Users.xml – łatwość wyszukiwanie użytkownika (parsery), możliwość dodawania, usuwania i edycji danych użytkownika. Arkadiusz Popa, WMiI, UŁ
Dane użytkownika • W bazie danych – szybkość działania dla dużej ilość osób. Transakcyjność. UserExist() UserExist() UserExist() UserExist() UserExist() Arkadiusz Popa, WMiI, UŁ
Hierarchiczna autoryzacja Katalog do którego dostęp ma grupa użytkowników Katalog do którego dostęp ma tylko określony użytkownik Arkadiusz Popa, WMiI, UŁ