Gérer la sécurité des applications ASP.Net
Souvent, un site Internet contient des pages qui ne doivent pas être disponible pour être consulté par n'importe qui, mais seulement de certains types d'utilisateurs. On parle d'authentification des utilisateurs avec référence à la pratique utilisée pour s'assurer que les utilisateurs sont en fait ceux qui prétendent être et que cette pratique est basé sur des informations partagées (comme un mot de passe). Il parle au lieu d'autoriser les utilisateurs en référence à la pratique pour autoriser ou refuser l'autorisation basée sur et / ou des rôles qui leur sont assignées par la permission d'accéder à certaines pages à certains utilisateurs qui sont authentifiés.
Logiciel de sécurité est un sujet de grande importance ces dernières années. Quand une application Web s'exécute dans un environnement Microsoft doit examiner certains aspects fondamentaux: le contexte de sécurité (contexte de sécurité) IIS, comment authentifier les utilisateurs et leurs autorisations.
Gérer la sécurité sur le web est une activité très similaire à la gestion de la sécurité typique d'un réseau où vous devez compter sur l'authentification et l'autorisation des utilisateurs. Toutefois, la sécurité sur le Web fournit pour la gestion des clients en utilisant différentes plates-formes, si vous avez moins de contrôle que d'un réseau fermé (comme le réseau Windows dans un bureau). En fait, un des administrateurs réseau fermé peut plus facilement suivre l'ensemble du système, en fournissant ou en refusant l'accès aux utilisateurs des différentes ressources disponibles. Les utilisateurs d'une application web, mais sont beaucoup plus nombreux et ont donc besoin d'une approche différente (infrastructure externe sous Windows) pour authentifier et autoriser eux-mêmes.
La question la sécurité d'abord que l'on rencontre en développant des applications Web dans un environnement Windows est de comprendre le contexte de sécurité de IIS. Pratiquement tous les accès passer à un site Web via IIS, et, comme toutes les applications Windows, IIS est exécuté dans un contexte spécifique. Lorsque IIS est installé sur un ordinateur, le processus d'installation crée une identité de sécurité (sécurité de l'identité), il part.
Et 'possible d'identifier l'identité sous laquelle notre version de IIS s'exécute commencer, sélectionnez un répertoire virtuel, l'accès à la fenêtre de propriétés et en cliquant sur l'accès à distance et contrôle d'authentification. À ce stade, il ouvre la fenêtre suivante
comme vous pouvez le voir sur mon ordinateur identité est IUSR.
Par défaut IIS traite les répertoires virtuels en utilisant l'authentification anonyme. Lorsque ce mode est spécifié en utilisant l'utilisateur IIS que nous venons de le voir et met à disposition les ressources accessibles. IIS prend également en charge d'autres types d'authentification, y compris l'authentification Windows. Dans ce dernier cas, fournir à tous les utilisateurs potentiels du nom d'utilisateur Windows et mot de passe. Cependant, ce type d'authentification fonctionne très bien avec des utilisateurs Windows, mais pour les utilisateurs qui utilisent d'autres systèmes d'exploitation, vous devez utiliser un autre type d'authentification, car le mécanisme de sécurité disponibles pour les utilisateurs de Windows n'est pas disponible pour d'autres systèmes et donc la utilisateurs n'a pas pu authentifier.
Heureusement, ASP.NET inclut l'authentification formes dites, un outil simple mais efficace introduit dans verisone 1.0. Il est fixé à partir du fichier Web.config d'une application web qui, en plus des éléments déjà vus, il contient également des nœuds d'authentification et d'autorisation. En l'absence de ces nœuds ASP.NET permet un accès illimité à un site Web. Toutefois, si ces éléments sont présents utilisateurs sont redirigés vers une page dédiée à l'authentification (généralement une page de connexion, où les utilisateurs doivent entrer nom d'utilisateur et mot de passe).
Voici un échantillon avec web.config ces nœuds
vous pouvez voir qu'il a été défini comme méthode d'authentification et comme une page de formulaire où les utilisateurs sont redirigés vers la page Login.aspx.
ASP.NET comprend un grand soutien pour l'authentification des utilisateurs. L'élément clé dans ce contexte est la classe FormsAuthentication, qui fournit une gamme de fonctions différentes allant de cryptage des mots de passe, la création de cookies d'authentification, à travers une variété d'autres aspects
Pour étudier la question de la sécurité dans ASP.NET je vous invite à consulter un article écrit par moi et présenter à cette page .
- Introduction à ASP.NET et Visual Studio
- Développement d'applications web
- Le. NET Framework
- Le protocole HTTP (dans l'environnement. NET)
- Internet Information Services (IIS)
- Les premières étapes avec ASP.NET
- Nous commençons à travailler avec Visual Studio
- Utilisation et gestion des contrôles génériques
- Utilisation et gestion des contrôles de validation
- Utilisation et gestion des contrôles graphiques
- L'interface utilisateur et les pages maîtres
- Thèmes et peaux
- Les fichiers de configuration: machine.config et web.config
- Gérer la sécurité des applications ASP.Net
- Gestion des utilisateurs
- Contrôle de l'utilisation et de gestion pour vous connecter
- La liaison de données
- Gestion des connexions aux bases de données avec ADO.NET
- Contrôles de gestion des données
- Interrogation de données avec LINQ
- Gestion d'état de session
- La mise en cache des données
- Diagnostics et le débogage des erreurs
- Introduction à AJAX
- Utilisation d'AJAX
- Déploiement d'applications ASP.NET
 |
ASP (Advanced)
Cours complet pour la création de sites Web dynamiques. A partir de 39 €. |
 |
ASP.NET (Cours)
Cours complet pour construire des applications Web à partir de 49 €. |
 |
SQL et bases de données (cours)
Créer et gérer des bases de données relationnelles. A partir de 39 €. |