GALA. Mm081. Manual TS: Desarrollo de Aplicaciones ASP.Net. Utilizando la Plataforma Microsoft.Net 3.5. Sé diferente, intégrate

Transcripción

1 Sé diferente, intégrate Mm081 Manual TS: Desarrollo de Aplicaciones ASP.Net Autor: Orlando Gutiérrez Fecha: 01/01/2011 1

2 INDICE 1 CONFIGURAR PROVEEDORES DE DATOS: PERSONALIZACIÓN, MIEMBROS, FUENTES DE DATOS, MAPA DEL SITIO, RECURSOS, SEGURIDAD... 5 CONTROLES DE ORIGEN DE DATOS... 5 MAPA DEL SITIO... 6 CONTROLES DE EXPLORACIÓN DEL SITIO... 7 PROTEGER EL ACCESO DE DATOS CONFIGURAR LA AUTENTICACIÓN, AUTORIZACIÓN Y LA REPRESENTACIÓN: AUTENTICACIÓN DE FORMULARIOS, AUTENTICACIÓN DE WINDOWS... 9 ARQUITECTURA DE SEGURIDAD DE ASP.NET... 9 AUTENTICACIÓN DE ASP.NET PROVEEDOR DE AUTENTICACIÓN DE WINDOWS PROVEEDOR DE AUTENTICACIÓN MEDIANTE FORMULARIOS CONFIGURAR PROYECTOS, SOLUCIONES Y CONJUNTOS DE REFERENCIAS: CONJUNTOS LOCALES, CONJUNTOS COMPARTIDOS (GAC), PROYECTOS DE APLICACIONES WEB, SOLUCIONES COLOCACIÓN DE ENSAMBLADOS CACHÉ DE ENSAMBLADOS GLOBAL CONFIGURAR EL ESTADO DE LA SESIÓN UTILIZANDO MICROSOFT SQL SERVER, STATE SERVER O INPROC: CONFIGURACIÓN DEL TIEMPO DE ESPERA; SESIONES SIN COOKIES ESTADO DE SESIÓN DE ASP.NET MODOS DE ESTADO DE SESIÓN MODO EN PROCESO IN PROC MODO SERVIDOR DE ESTADO STATE SERVER MODO SQL SERVER MODO PERSONALIZADO PUBLICAR APLICACIONES WEB: SISTEMA DE ARCHIVOS O HTTP DE VISUAL STUDIO CONFIGURAR CONJUNTOS DE APLICACIONES COMPILAR UNA APLICACIÓN UTILIZANDO VISUAL STUDIO O HERRAMIENTAS DE LÍNEA DE COMANDO: ASPNET_COMPILER.EXE, COMPILACIÓN JUST-IN-TIME (JIT), ASPNET_MERGE.EXE HERRAMIENTA DE COMPILACIÓN DE ASP.NET (Aspnet_compiler.exe) HERRAMIENTA DE COMBINACIÓN DE ASP.NET (Aspnet_merge.exe) ARGUMENTOS OPCIONES REALIZAR LA COMPILACIÓN CON EL COMPILADOR Just-In-Time (JIT) IMPLEMENTAR CONTROLES ASOCIADOS CON DATOS: DATAGRID, DATALIST, REPEATER, LISTVIEW, GRIDVIEW, FORMVIEW, DETAILSVIEW, TREEVIEW, DATAPAGER CARGAR LOS CONTROLES DEL USUARIO DINÁMICAMENTE CREAR Y UTILIZAR CONTROLES PERSONALIZADOS: REGISTRO DE CONTROLES EN UNA PÁGINA, CREACIÓN DE CONTROLES EN PLANTILLA

3 CONTROL DE SERVIDOR CON PLANTILLA IMPLEMENTAR LA VALIDACIÓN EN EL CLIENTE Y EN EL SERVIDOR: REQUIREDFIELDVALIDATOR, COMPAREVALIDATOR, REGULAREXPRESSIONVALIDATOR, CUSTOMVALIDATOR, RANGEVALIDATOR VALIDAR LA INFORMACIÓN ESPECIFICADA POR EL USUARIO EN PÁGINAS WEB ASP.NET TIPOS DE VALIDACIÓN Y CONTROLES UTILIZAR CONTROLES ESTÁNDAR: BUTTON, TEXTBOX, DROPDOWNLIST, RADIOBUTTON, CHECKBOX, HYPERLINK, WIZARD, MULTIVIEW BUTTON LEER Y ESCRIBIR DATOS XML: XMLDOCUMENT, XPATHNAVIGATOR, XPATHNODEITERATOR, XPATHDOCUMENT, XMLREADER, XMLWRITER, XMLDATADOCUMENT, XMLNAMESPACEMANAGER MANIPULAR LOS DATOS UTILIZANDO LOS OBJETOS DATASET Y DATAREADER ARQUITECTURA DE ADO.NET LLAMAR A UN SERVICIO WINDOWS COMMUNICATION FOUNDATION (WCF) O A UN SERVICIO WEB DESDE UNA PÁGINA WEB ASP.NET: APP_WEBREFERENCES; <SYSTEM.SERVICEMODEL> CONFIGURATION CONSUMO DE SERVICIOS WCF SERVICIOS WEB IMPLEMENTAR UN CONTROL DATASOURCE: LINQDATASOURCE, OBJECTDATASOURCE, XMLDATASOURCE, SQLDATASOURCE VINCULAR LOS CONTROLES A LOS DATOS UTILIZANDO LA SINTAXIS DE UNIÓN DE DATOS (DATA BINDING) EL MECANISMO DEL ENLACE A DATOS CONFIGURAR LA DEPURACIÓN Y LOS ERRORES PERSONALIZADOS. PUEDE INCLUIR, PERO SIN LIMITARSE A ELLO: <CUSTOMERRORS MODE="OFF ON REMOTEONLY" />, <COMPILATION DEBUG="TRUE"/> HABILITAR LA DEPURACIÓN EN ASP.NET CONFIGURAR UN ENTORNO PARA REALIZAR LA DEPURACIÓN REMOTA DEPURAR LAS EXCEPCIONES SIN TRAZAR AL UTILIZAR ASP.NET AJAX: MÉTODOS SYS.DEBUG EN EL CLIENTE; CONEXIÓN DE UN PROGRAMA DE DEPURACIÓN A WINDOWS INTERNET EXPLORER IMPLEMENTAR EL SEGUIMIENTO DE UNA APLICACIÓN WEB: TRACE.AXD, TRACE=TRUE DIRECTIVE,<TRACE ENABLED="TRUE"/> DEPURAR LOS PROBLEMAS DE IMPLEMENTACIÓN: ASPNET_REGIIS.EXE; CREACIÓN DE UNA APLICACIÓN WEB IIS; CONFIGURACIÓN DE LA VERSIÓN DE.NET FRAMEWORK aspnet_regiis [opciones] OPCIONES DE CONFIGURACIÓN SUPERVISAR APLICACIONES WEB: SUPERVISIÓN DE LA SALUD UTILIZANDO WEBEVENT, CONTADORES DE RENDIMIENTO USAR LOS EVENTOS DE SUPERVISIÓN DE ESTADO DE ASP.NET

4 UTILIZAR EVENTOS WEB Y PROVEEDORES INTEGRADOS IMPLEMENTAR FORMULARIOS WEB UTILIZANDO ASP.NET AJAX: ENABLEPARTIALRENDERING, TRIGGERS, CHILDRENASTRIGGERS, SCRIPTS, SERVICES, UPDATEPROGRESS, TIMER, SCRIPTMANAGERPROXY CONTROL TIMER CONTROL UPDATE PANEL ESPECIFICAR LOS DESENCADENADORES (TRIGGERS) DE UPDATEPANEL INTERACTUAR CON LA BIBLIOTECA EN EL CLIENTE ASP.NET AJAX: OBJETOS JAVASCRIPT OBJECT NOTATION (JSON); TRATAMIENTO DE EVENTOS ASP.NET AJAX INTRODUCCIÓN UTILIZANDO SINTAXIS JSON CON AJAX DEVOLVIENDO DATOS EN UN FORMATO JSON DESDE UN SERVICIO WEB ASP.NET SOBRE HTTP ENTENDIENDO EL PARÁMETRO D EN LOS DATOS ASP.NET AJAX JSON AJAX DE ASP.NET: INTERIOR DE LA CADENA DE FECHA Y HORA DE JSON USAR SERVICIOS DE SCRIPTS DE CLIENTE CONSUMO DE SERVICIOS DE DATOS MEDIANTE LA BIBLIOTECA AJAX DE ASP.NET USO DE LA CLASE OPENDATACONTEXT CREAR Y REGISTRAR UN SCRIPT DE CLIENTE: INLINE, ARCHIVO.JS INCLUIDO, RECURSO JAVASCRIPT INCRUSTADO, CREADO DESDE EL CÓDIGO DE SERVIDOR PROGRAMAR DISPOSITIVOS MÓVILES ASP.NET MOBILE WEB FORMS Y COMPATIBILIDAD CON ASP.NET ACCESO A LAS CAPACIDADES DEL DISPOSITIVO: TRABAJO CON EMULADORES CONTROLAR EL PROCESAMIENTO ESPECÍFICO DEL DISPOSITIVO: CONTROL DEVICESPECIFIC; FILTROS DE DISPOSITIVO; PLANTILLAS DE CONTROL AGREGAR CONTROLES WEB MÓVILES A UNA PÁGINA WEB: CONTROLES STYLESHEET; CONTROLES LIST; CONTROLES CONTAINER IMPLEMENTAR ADAPTADORES DE CONTROL: APP_BROWSERS; PROCESAMIENTO UTILIZANDO CHTMLTEXTWRITER O XHTMLTEXTWRITER PERSONALIZAR EL DISEÑO Y APARIENCIA DE UNA PÁGINA WEB: CSS, TEMAS Y FUNCIONES, PÁGINAS PRINCIPALES Y ELEMENTOS WEB, APP_THEMES, STYLESHEETTHEME TEMAS Y MÁSCARAS DE ASP.NET CONTROLES DE SERVIDOR WEB ASP.NET Y ESTILOS DE CSS TRABAJAR CON OBJETOS INTRÍNSECOS DE ASP.NET: REQUEST, SERVER, APPLICATION, SESSION, RESPONSE, HTTPCONTEXT IMPLEMENTAR LA GLOBALIZACIÓN Y ACCESIBILIDAD: ARCHIVOS DE RECURSOS, CONFIGURACIÓN DE CULTURA, REGIONINFO, APP_GLOBALRESOURCES, APP_LOCALRESOURCES, TABINDEX, ALTERNATETEXT, GENERATEEMPTYALTERNATETEXT, ACCESSKEY, LABEL.ASSOCIATEDCONTROLID INFORMACIÓN GENERAL SOBRE LA GLOBALIZACIÓN Y LA LOCALIZACIÓN

5 CONCEPTOS COMUNES DE RECURSOS CÓMO: CREAR ARCHIVOS DE RECURSOS PARA SITIOS WEB ASP.NET CREAR UNA APLICACIÓN WEB ACCESIBLE CÓMO: CREAR ARCHIVOS DE RECURSOS PARA SITIOS WEB ASP.NET IMPLEMENTAR OBJETOS EMPRESARIALES Y CLASES DE UTILIDAD: APP_CODE, CONJUNTOS EXTERNOS INFORMACIÓN GENERAL SOBRE LA GLOBALIZACIÓN Y LA LOCALIZACIÓN IMPLEMENTAR EL ESTADO DE SESIÓN, VER EL ESTADO, CONTROLAR EL ESTADO, COOKIES, CACHÉ O ESTADO DE LA APLICACIÓN TRATAR EVENTOS Y CONTROLAR EL FLUJO DE PÁGINAS: EVENTOS DE PÁGINA, EVENTOS DE CONTROL, EVENTOS DE APLICACIÓN Y EVENTOS DE SESIÓN, PUBLICACIONES EN VARIAS PÁGINAS; RESPONSE.REDIRECT, SERVER.TRANSFER, ISPOSTBACK, CONFIGURACIÓN DE AUTOEVENTWIREUP IMPLEMENTAR EL CONTROLADOR GENERIC MODELO DE EVENTOS DE CONTROL DE SERVIDOR WEB ASP.NET

6 1 CONFIGURAR PROVEEDORES DE DATOS: PERSONALIZACIÓN, MIEMBROS, FUENTES DE DATOS, MAPA DEL SITIO, RECURSOS, SEGURIDAD Las aplicaciones Web obtienen acceso normalmente a los orígenes de datos para el almacenamiento y la recuperación de datos dinámicos. Se puede escribir código para el acceso a los datos utilizando clases del espacio de nombres System.Data (normalmente denominado ADO.NET) y del espacio de nombres System.Xml. Este enfoque era normal en versiones anteriores de ASP.NET. Sin embargo, ASP.NET también permite realizar el enlace de datos mediante declaración. Este proceso no requiere la existencia de código para los escenarios de datos más comunes, entre los que se incluyen: Seleccionar y mostrar datos. Ordenar, paginar y almacenar datos en memoria caché. Actualizar, insertar y eliminar datos. Filtrar datos utilizando parámetros en tiempo de ejecución. Crear escenarios de detalles maestros utilizando parámetros. ASP.NET incluye dos tipos de controles de servidor que participan en el modelo de enlace de datos declarativo: controles de origen de datos y controles enlazados a datos. Estos controles administran las tareas subyacentes requeridas por el modelo Web sin estado para mostrar y actualizar datos en páginas Web ASP.NET. Por tanto, no es estrictamente necesario conocer los detalles del ciclo de vida de la solicitud de página si sólo se va a realizar el enlace de datos. CONTROLES DE ORIGEN DE DATOS Los controles de origen de datos son controles ASP.NET que administran las tareas de conexión a un origen de datos y de lectura y escritura de datos. Los controles de origen de datos no representan ninguna interfaz de usuario, sino que actúan como intermediarios entre un almacén de datos en particular (como una base de datos, un objeto comercial o un archivo XML) y los demás controles de la página Web ASP.NET. Los controles de origen de datos habilitan un amplio conjunto de funciones para recuperar y modificar datos, entre las que se incluyen la consulta, la ordenación, la paginación, el filtrado, la actualización, la eliminación y la inserción. ASP.NET incluye los controles de origen de datos siguientes: AccessDataSource Permite trabajar con una base de datos de Microsoft Access. LinqDataSource Permite usar Language-Integrated Query (LINQ) en una página web ASP.NET a través de marcado declarativo para recuperar y modificar datos de un objeto de datos. Admite la generación automática de comandos de selección, actualización, inserción y eliminación. El control también admite ordenación, filtrado y paginación. ObjectDataSource Permite trabajar con un objeto comercial u otra clase y crear aplicaciones Web basadas en objetos de nivel medio para administrar los datos. SiteMapDataSource Se utiliza con la navegación en el sitio ASP.NET. SqlDataSource Permite trabajar con proveedores de datos administrados de ADO.NET, que proporcionan acceso a bases de datos de Microsoft SQL Server, OLE DB, ODBC u Oracle. XmlDataSource Permite trabajar con un archivo XML, que es especialmente útil para controles de servidor ASP.NET jerárquicos tales como el control TreeView o Menu. 6

7 Los controles de origen de datos también se pueden ampliar para admitir proveedores de almacenamiento y acceso a datos adicionales. MAPA DEL SITIO Puede utilizar las características de exploración del sitio de ASP.NET con el fin de proporcionar una manera coherente a los usuarios para explorar el sitio. Cuando un sitio crece y cuando se mueven sus páginas, puede resultar complicado administrar todos los vínculos. La exploración del sitio de ASP.NET permite almacenar los vínculos de todas las páginas en una ubicación central y representar estos vínculos en listas o menús de desplazamiento en cada página incluyendo un control de servidor Web específico. Con la exploración del sitio de ASP.NET, puede crear una solución de exploración consistente y fácil de administrar para el sitio. La exploración del sitio de ASP.NET cuenta con las características siguientes: Mapas del sitio Se puede utilizar un mapa del sitio para describir la estructura lógica de su sitio. Se puede administrar la exploración de la página modificando el mapa del sitio cuando se agregan o se eliminan páginas en lugar de modificar los hipervínculos en todas las páginas Web. Controles ASP.NET Se puede utilizar estos controles para mostrar los menús de exploración en las páginas Web. Los menús de exploración se basan en el mapa del sitio. Control de programación Se puede utilizar la exploración del sitio de ASP.NET en el código para crear controles de exploración personalizados o modificar la ubicación de la información que se muestra en un menú de desplazamiento. Reglas de acceso Se puede configurar reglas de acceso para mostrar u ocultar un vínculo en el menú de desplazamiento. Proveedores de mapas de sitio personalizados Se puede crear proveedores de mapas de sitio personalizados permitiendo trabajar con el propio servidor del mapa del sitio (por ejemplo, una base de datos donde almacene la información de los vínculos) y conectar el proveedor al sistema de exploración del sitio de ASP.NET. En la ilustración siguiente se muestran las relaciones existentes entre los componentes de exploración del sitio de ASP.NET. 7

8 CONTROLES DE EXPLORACIÓN DEL SITIO Crear un mapa del sitio reflejando la estructura del sitio es una parte del sistema de exploración del sitio de ASP.NET. La otra parte es mostrar la estructura de exploración en las páginas Web ASP.NET para que los usuarios puedan desplazarse por el sitio con facilidad. Se puede establecer la exploración en las páginas de forma sencilla utilizando los siguientes controles de desplazamiento del sitio de ASP.NET: SiteMapPath Este control muestra una ruta de desplazamiento indicando al usuario la ubicación de la página actual y mostrando los vínculos como una ruta de retorno a la página principal. El control proporciona muchas opciones para personalizar el aspecto de los vínculos. TreeView Este control muestra una estructura de árbol, o de menú, que los usuarios pueden recorrer para llegar a diferentes páginas del sitio. Se puede expandir o contraer un nodo conteniendo nodos secundarios haciendo clic en él. Menu Este control muestra un menú expansible a los usuarios para recorrer llegando a diferentes páginas del sitio. Un nodo conteniendo nodos secundarios se expandirá cuando el cursor se sitúe sobre el menú. 8

9 Puede utilizar el control SiteMapPath para crear la exploración del sitio sin código y sin enlaces de datos explícitos. El control puede leer y representar la información del mapa del sitio automáticamente. Sin embargo, si es necesario, también se puede personalizar el control SiteMapPath mediante código. El control SiteMapPath permite a los usuarios desplazarse hacia atrás desde la página actual a las páginas superiores en la jerarquía del sitio. Sin embargo, el control SiteMapPath no le permite desplazarse hacia delante desde la página actual a otra página más profunda en la jerarquía. El control SiteMapPath es útil para las aplicaciones de grupos de noticias o mensajería cuando los usuarios desean ver la ruta de acceso al artículo que están explorando. Con los controles TreeView o Menu, los usuarios pueden abrir los nodos y desplazarse directamente a una página determinada. Estos controles no leen el mapa del sitio directamente, puesto que ya lo hace el control SiteMapPath. En su lugar, se puede agregar un control SiteMapDataSource a una página que pueda leer el mapa del sitio. A continuación, se puede enlazar el control TreeView o Menu al control SiteMapDataSource, lo que hace que el mapa del sitio se represente en la página. PROTEGER EL ACCESO A DATOS La mayoría de las aplicaciones Web ASP.NET implican el acceso a datos. Muchas aplicaciones recogen datos para almacenarlos en una base de datos o en un archivo y, a menudo, se basan en información procedente de los usuarios. Puesto que los datos originales pueden proceder de orígenes no de confianza (y la información se almacena en un formato permanente) y se debe asegurar que los usuarios no autorizados no puedan obtener acceso al origen de datos directamente, es necesario prestar especial atención a los problemas de seguridad relacionados con el acceso a datos. Aunque se puede mejorar la seguridad de la aplicación siguiendo las buenas prácticas en materia de codificación y configuración, también es importante mantener actualizado el servidor Web con las últimas actualizaciones de seguridad de Microsoft Windows e Internet Information Services (IIS), así como las actualizaciones de seguridad de Microsoft SQL Server o cualquier otro software de base de datos. Proteger el acceso a un origen de datos Cadenas de conexión: Para conectar con una base de datos, se necesita una cadena de conexión. Puesto que las cadenas de conexión pueden contener datos confidenciales, se deben seguir estas instrucciones: a) No almacenar cadenas de conexión en ninguna página. Por ejemplo, evite la configuración de las cadenas de conexión como propiedades declarativas del control SqlDataSource o de otros controles de origen de datos. En su lugar, almacénelas en el archivo Web.config del sitio. b) No almacenar cadenas de conexión como texto sin formato. Para proteger la conexión al servidor de base de datos, se recomienda cifrar la información de la cadena de conexión del archivo de configuración mediante la configuración protegida. Conectar con SQL Server mediante seguridad integrada: En lo posible conectarse a una instancia de SQL Server utilizando la seguridad integrada en lugar de un nombre de usuario explícito y una contraseña. De esta forma, se evita la posibilidad de comprometer la integridad de la cadena de conexión y de exponer el identificador de usuario y la contraseña. Se recomienda asegurarse de la identidad del proceso (por ejemplo, la agrupación de aplicaciones) ejecutando ASP.NET sea la cuenta de proceso predeterminada o una cuenta de usuario restringida. En los casos donde distintos sitios Web conectan con diversas bases de datos de SQL Server, puede no resultar práctico utilizar la seguridad integrada. Por ejemplo, en los sitios de alojamiento Web, se suele asignar a cada cliente una base de datos de SQL Server diferente, pero todos utilizan el servidor Web como usuarios anónimos. En estos casos, debe utilizar credenciales explícitas para conectarse a una instancia de SQL Server. Asegúrese de almacenar las credenciales de forma segura. Permisos de base de datos de SQL Server Se recomienda asignar los privilegios mínimos al identificador de usuario utilizado para la conexión a las bases de datos de SQL Server usadas en la aplicación. Restringir las operaciones de SQL Los controles enlazados a datos pueden admitir una gran variedad de operaciones con datos como selección, inserción, eliminación y actualización de registros en las tablas de datos. Se recomienda configurar los controles de datos para realizar la funcionalidad 9

10 mínima necesaria de la página o aplicación. Por ejemplo, si un control no debe permitir a los usuarios que eliminar datos, no se debe incluir una consulta Delete con un control de origen de datos y no permitir eliminación en el control. Protegerse de los datos de entrada malintencionados Si la aplicación acepta la entrada de datos de los usuarios, debe asegurar su contenido no es malintencionado y no compromete la integridad de la aplicación. Los usuarios malintencionados pueden introducir datos para iniciar los siguientes ataques: a) Inyección de secuencia de comandos Un ataque de inyección consiste en enviar una secuencia de comandos a la aplicación para que otros usuarios la ejecuten. En los ataques de inyección típicos, las secuencias de comandos se envían a una página almacenándolas en una base de datos, de modo que otro usuario que vea los datos ejecute el código sin darse cuenta. b) Inyección SQL Los ataques de inyección SQL intentan comprometer la seguridad de la base de datos, y posiblemente la del equipo en el que se está ejecutando, creando comandos de SQL que se ejecutan sustituyendo o sumándose a los integrados en la aplicación. 2 CONFIGURAR LA AUTENTICACIÓN, AUTORIZACIÓN Y LA REPRESENTACIÓN: AUTENTICACIÓN DE FORMULARIOS, AUTENTICACIÓN DE WINDOWS ASP.NET, conjuntamente con Microsoft Internet Information Services (IIS), puede autenticar las credenciales del usuario como nombres y contraseñas mediante los métodos de autenticación siguientes: Windows: básica, implícita, y Autenticación de Windows integrada (NTLM o Kerberos). Autenticación mediante formularios, con la que crea una página de inicio de sesión y se administra la autenticación en la aplicación. Autenticación mediante certificados de cliente ASP.NET controla el acceso a la información de los sitios comparando las credenciales autenticadas, o representaciones de las mismas, con los permisos del sistema de archivos de Microsoft Windows NT o con un archivo XML conteniendo la lista de usuarios autorizados, funciones autorizadas (grupos) o verbos HTTP autorizados. Para ayudar a proteger la seguridad de una aplicación ASP.NET, se deben llevar a cabo las dos funciones principales descritas en la siguiente tabla. Función de seguridad Autenticación Autorización Descripción Ayuda a comprobar que el usuario es precisamente quien dice ser. La aplicación obtiene las credenciales (diversas formas de identificación, como nombre y contraseña) de un usuario, y las valida consultando a una autoridad determinada. Si las credenciales son válidas, se considera a la entidad enviando las credenciales como una entidad autenticada. Limita los derechos de acceso mediante la concesión o negación de permisos específicos a una identidad autenticada. Además, Internet Information Services (IIS) puede conceder o negar el acceso en función de la dirección IP o del nombre de host del usuario. Cualquier autorización de acceso posterior se realiza mediante la autorización de la dirección URL del permiso de acceso al sistema de archivos NTFS. Es importante entender cómo interactúan todos los diversos subsistemas de seguridad. Puesto que ASP.NET se basa en Microsoft.NET Framework, el desarrollador de aplicaciones ASP.NET también tiene acceso a todas las características de seguridad integradas de.net Framework, como la seguridad de acceso a código y la seguridad de acceso basada en funciones ARQUITECTURA DE SEGURIDAD DE ASP.NET En esta sección se proporciona información general sobre la infraestructura de seguridad de ASP.NET. En la siguiente ilustración se muestran las relaciones entre los sistemas de seguridad de ASP.NET. 10

11 Como se muestra en la ilustración, todos los clientes Web se comunican con las aplicaciones ASP.NET a través de Microsoft Internet Information Services (IIS). IIS autentica la solicitud si fuera necesario y, a continuación, busca el recurso solicitado (como una aplicación ASP.NET). Si el cliente está autorizado, el recurso estará disponible. Cuando se está ejecutando una aplicación ASP.NET, puede utilizar las características de seguridad de ASP.NET integradas. Además, una aplicación ASP.NET puede utilizar las características de seguridad de.net Framework 11

12 Flujo de datos en Seguridad.Net Por Windows 12

13 Por formularios AUTENTICACIÓN DE ASP.NET La autenticación es un proceso que consiste en obtener las credenciales de identificación, como nombre y contraseña, de un usuario y validarlas consultando a una autoridad determinada. Si las credenciales son válidas, se considera a la entidad que ha enviado las credenciales como una entidad autenticada. Una vez autenticada la identidad, el proceso de autorización determina si esa identidad tiene acceso a un recurso específico. ASP.NET implementa este proceso a través de proveedores de autenticación, módulos conteniendo el código necesario para autenticar las credenciales del solicitante. Proveedor de autenticación de Windows Proporciona información sobre cómo utilizar la autenticación de Windows junto con la autenticación de Microsoft Internet Information Services (IIS) para proteger las aplicaciones ASP.NET. Proveedor de autenticación mediante formularios Proporciona información sobre cómo crear un formulario de inicio de sesión específico de la aplicación y realizar la autenticación mediante código propio. Una manera sencilla de trabajar con la autenticación de formularios consiste en utilizar la suscripción de 13

14 ASP.NET y los controles de inicio de sesión de ASP.NET, que conjuntamente proporcionan un método para recopilar las credenciales de usuario, autenticarlas y administrarlas, con muy poco código o nada en absoluto. PROVEEDOR DE AUTENTICACIÓN DE WINDOWS La Autenticación de Windows trata la identidad de usuario proporcionada por Servicios de Microsoft Internet Information Server (IIS) como el usuario autenticado en una aplicación ASP.NET. IIS ofrece diversos mecanismos de autenticación para comprobar la identidad del usuario, incluyendo autenticación anónima, autenticación de Windows integrada (NTLM), autenticación de Windows integrada (Kerberos), autenticación básica (codificada en base64), autenticación de texto implícita y autenticación basada en certificados de cliente. La autenticación de Windows se implementa en ASP.NET utilizando el módulo WindowsAuthenticationModule. El módulo construye una identidad WindowsIdentity basándose en las credenciales proporcionadas por IIS y establece la identidad como el valor actual de la propiedad User para la aplicación. La autenticación de Windows es el mecanismo de autenticación predeterminado para las aplicaciones ASP.NET y se identifica como el modo de autenticación para una aplicación mediante el elemento de configuración authentication, tal como se muestra en el ejemplo de código siguiente. <system.web> <authentication mode="windows"/> </system.web> Suplantar la identidad de Windows El modo de autenticación de Windows establece el valor de la propiedad User actual en una identidad WindowsIdentity basándose en las credenciales proporcionadas por IIS, no modifica la identidad de Windows proporcionada al sistema de operación. La identidad de Windows proporcionada al sistema operativo se utiliza para comprobar los permisos, como los permisos de archivos NTFS, o para conectarse a una base de datos mediante la seguridad integrada. De forma predeterminada, esta identidad de Windows es la identidad del proceso de ASP.NET. En Microsoft Windows 2000 y Windows XP Professional, ésta es la identidad del proceso de trabajo de ASP.NET, la cuenta local de ASPNET. En Windows Server 2003, ésta es la identidad del Grupo de aplicaciones IIS de la aplicación ASP.NET. De forma predeterminada, ésta es la cuenta NETWORK SERVICE. Para configurar la identidad de Windows de la aplicación ASP.NET como la identidad de Windows proporcionada por IIS se debe habilitar la suplantación. Es decir, indicar a la aplicación ASP.NET suplantar la identidad suministrada por IIS para todas las tareas autenticadas por el sistema de operación Windows, incluyendo el acceso a archivos y a la red. Para habilitar la suplantación para la aplicación Web, en el archivo Web.config de la aplicación se establece el atributo impersonate del elemento identity en true, como se muestra en el ejemplo de código siguiente. <system.web> <authentication mode="windows"/> <identity impersonate="true"/> </system.web> Habilitar la autorización utilizando ACL de NTFS Se puede mejorar la seguridad de una aplicación ASP.NET protegiendo los archivos de la aplicación mediante el sistema de archivos NTFS y Listas de control de acceso (ACL). Las ACL permiten especificar cuáles usuarios y grupos de usuarios tienen acceso a los archivos de la aplicación. 14

15 PROVEEDOR DE AUTENTICACIÓN MEDIANTE FORMULARIOS Se presenta una implementación simple de la autenticación mediante formularios de ASP.NET. Está diseñada para mostrar los principios de cómo utilizar la autenticación mediante formularios para registrar a los usuarios en una aplicación ASP.NET. La forma útil de trabajar con la autenticación mediante formularios es utilizar la suscripción y los controles de inicio de sesión de ASP.NET. La suscripción de ASP.NET proporciona un medio para almacenar y administrar la información de los usuarios e incluye métodos para su autenticación. Los controles de inicio de sesión de ASP.NET funcionan con la suscripción de ASP.NET y encapsulan la lógica requerida para solicitar credenciales a los usuarios, validarlos, recuperar o reemplazar contraseñas, etc. Efectivamente, la suscripción y los controles de inicio de sesión de ASP.NET proporcionan una capa de abstracción en la autenticación mediante formularios y reemplazan la mayor parte del trabajo que tendría que llevarse a cabo normalmente para utilizar dicha autenticación. En el escenario del ejemplo los usuarios solicitan un recurso protegido, concretamente una página denominada Default.aspx. Solamente un usuario tiene acceso al recurso protegido: alumno@institutogala.com, con la contraseña "WakaMaY@". El nombre de usuario y la contraseña están incluidos en el código del archivo Logon.aspx. El ejemplo requiere tres archivos: el archivo Web.config, una página denominada Logon.aspx, y una página denominada Default.aspx. Los archivos residen en el directorio raíz de la aplicación. Para configurar la aplicación para la autenticación mediante formularios 1. Colocar en el archivo Web.config de la carpeta raíz de la aplicación los siguientes elementos: <?xml version="1.0"?> <configuration xmlns=" <system.web> </system.web> </configuration> 2. Dentro del elemento system.web, crear un elemento authentication y establecer el atributo mode en Forms, como se muestra en el ejemplo siguiente: <system.web> <authentication mode="forms"> </authentication> </system.web> 3. Dentro del elemento authentication, crear un elemento forms y establecer los atributos siguientes: loginurl Establecer este atributo en "Logon.aspx". Logon.aspx es la dirección URL a utilizar para el redireccionamiento si ASP.NET no encuentra una cookie de autenticación con la solicitud. name Establezca este atributo en ".ASPXFORMSAUTH". De este modo se establece el sufijo del nombre de la cookie conteniendo el token de autenticación. <system.web> <authentication mode="forms"> <forms loginurl="logon.aspx" name=".aspxformsauth"> </forms> </authentication> </system.web> 4. Dentro del elemento system.web, crear un elemento authorization. <system.web> 15

16 <authentication mode="forms"> <forms loginurl="logon.aspx" name=".aspxformsauth"> </forms> </authentication> <authorization> </authorization> </system.web> 5. Dentro del elemento authorization, crear un elemento deny y establezca su atributo users en "?". Esto especifica que los usuarios no autenticados (representados por "?") no tienen acceso a los recursos de esta aplicación. <authentication mode="forms"> <forms loginurl="logon.aspx" name=".aspxformsauth"></forms> </authentication> <authorization> <deny users="?" /> </authorization> </system.web> Crear la página de inicio de sesión Cuando los usuarios solicitan cualquier página del sitio Web y no se han autenticado previamente, son redirigidos a una página denominada Logon.aspx. Este nombre de archivo ya se ha especificado anteriormente en el archivo Web.config. La página Logon.aspx recoge las credenciales del usuario (dirección de correo electrónico y contraseña) y las autentica. Si el usuario es autenticado correctamente, la página de inicio de sesión le redirige a la página solicitada originalmente. En el ejemplo, las credenciales válidas están incluidas en el código de la página. 1.Crear una página ASP.NET denominada Logon.aspx en la carpeta raíz de la aplicación. 2.Copiar el marcado siguiente y codifique en él: <%@ Page Language="C#" %> <%@ Import Namespace="System.Web.Security" %> <script runat="server"> void Logon_Click(object sender, EventArgs e) if ((User .Text == " alumno@institutogala.com") && (UserPass.Text == " WakaMaY@")) 16

17 FormsAuthentication.RedirectFromLoginPage (User .Text, Persist.Checked); else Msg.Text = "Invalid credentials. Please try again."; </script> <html> <head id="head1" runat="server"> <title>forms Authentication - Login</title> </head> <body> <form id="form1" runat="server"> <h3> Logon Page</h3> <table> <tr> <td> address:</td> <td> <asp:textbox ID="User " runat="server" /></td> <td> <asp:requiredfieldvalidator ID="RequiredFieldValidator1" ControlToValidate="User " Display="Dynamic" ErrorMessage="Cannot be empty." runat="server" /> </td> </tr> 17

18 <tr> <td> Password:</td> <td> <asp:textbox ID="UserPass" TextMode="Password" </td> <td> runat="server" /> <asp:requiredfieldvalidator ID="RequiredFieldValidator2" ControlToValidate="UserPass" ErrorMessage="Cannot be empty." runat="server" /> </td> </tr> <tr> <td> Remember me?</td> <td> <asp:checkbox ID="Persist" runat="server" /></td> </tr> </table> <asp:button ID="Submit1" OnClick="Logon_Click" Text="Log On" runat="server" /> <p> <asp:label ID="Msg" ForeColor="red" runat="server" /> </p> </form> </body> </html> La página contiene controles de servidor ASP.NET recogiendo información sobre el usuario y una casilla de verificación en la que los usuarios pueden hacer clic para conservar sus credenciales de inicio de sesión. El controlador de Click del botón Iniciar sesión contiene código para comprobar la dirección de correo electrónico y la contraseña del usuario utilizando como referencia los valores 18

19 incluidos en el código. (La contraseña es una contraseña segura conteniendo al menos ocho caracteres e incluyendo varios caracteres no alfabéticos). Si las credenciales del usuario son correctas, el código llama al método RedirectFromLoginPage de la clase FormsAuthentication, y le pasa el nombre de usuario y un valor booleano (derivado de la casilla de verificación) indicando si se ha de conservar el token de autenticación como una cookie. El método redirige al usuario a la página solicitada originalmente. Si las credenciales del usuario no coinciden, se muestra un mensaje de error. La página importa el espacio de nombres System.Web.Security, conteniendo la clase FormsAuthentication. Crear la página predeterminada Para el ejemplo, se creará una página ASP.NET en la carpeta raíz de la aplicación. Como se especificó en el archivo de configuración la negación a todos los usuarios no autenticados el acceso a los recursos de ASP.NET de la aplicación (incluidos los archivos.aspx, pero no los archivos estáticos como los archivos HTML o los archivos multimedia con imágenes, música etc.), cuando un usuario solicite la página, la autenticación mediante formularios comprobará sus credenciales y, si es necesario, le redirigirá a la página de inicio de sesión. La página que cree también permitirá a los usuarios cerrar la sesión, borrando su vale de autenticación almacenado (cookie). 1. Crear una página ASP.NET denominada Default.aspx en la carpeta raíz de la aplicación. 2. Colocar el siguiente código <%@ Page Language="C#" %> <html> <head> <title>forms Authentication - Default Page</title> </head> <script runat="server"> void Page_Load(object sender, EventArgs e) Welcome.Text = "Hello, " + Context.User.Identity.Name; void Signout_Click(object sender, EventArgs e) FormsAuthentication.SignOut(); Response.Redirect("Logon.aspx"); </script> <body> <h3> Using Forms Authentication</h3> 19

20 <asp:label ID="Welcome" runat="server" /> <form id="form1" runat="server"> <asp:button ID="Submit1" OnClick="Signout_Click" Text="Sign Out" runat="server" /><p> </form> </body> </html> La página muestra la identidad autenticada del usuario, establecida por la clase FormsAuthentication y disponible en una página ASP.NET como propiedad Context.User.Identity.Name. El controlador de Click del botón Cerrar sesión contiene código que llama al método SignOut para borrar la identidad del usuario y quitar el token de autenticación (cookie). A continuación, redirige al usuario a la página de inicio de sesión. 3 CONFIGURAR PROYECTOS, SOLUCIONES Y CONJUNTOS DE REFERENCIAS: CONJUNTOS LOCALES, CONJUNTOS COMPARTIDOS (GAC), PROYECTOS DE APLICACIONES WEB, SOLUCIONES Introducción a soluciones, proyectos y elementos Visual Studio dispone de dos contenedores para administrar eficazmente los elementos necesarios para el desarrollo, como referencias, conexiones de datos, carpetas y archivos. Estos contenedores se denominan soluciones y proyectos. Asimismo, Visual Studio proporciona carpetas de soluciones para organizar proyectos relacionados en grupos y, a continuación, llevar a cabo acciones en esos grupos de proyectos. El Explorador de soluciones, una interfaz para ver y administrar estos contenedores y sus elementos asociados, forma parte del entorno de desarrollo integrado (IDE). Contenedores: soluciones y proyectos Las soluciones y los proyectos contienen elementos en forma de referencias, conexiones de datos, carpetas y archivos necesarios para crear la aplicación. Una solución puede contener varios proyectos y un proyecto normalmente contiene varios elementos. Estos contenedores permiten sacar partido del IDE mediante las siguientes tareas: Administrar la configuración de la solución en su totalidad o dividida en proyectos individuales Utilizar el Explorador de soluciones para controlar los detalles de la administración de archivos y centrarse al mismo tiempo en los elementos que constituyen la labor de desarrollo. Agregar elementos útiles a varios proyectos de la solución o a la solución sin tener que hacer referencia a dichos elementos en cada proyecto. Trabajar en diversos archivos, independientes de soluciones o proyectos Elementos: archivos, referencias y conexiones de datos Los elementos pueden ser archivos y otras partes del proyecto como referencias, conexiones de datos o carpetas. En el Explorador de soluciones los elementos pueden organizarse de varias formas: En forma de elementos del proyecto, tales como formularios, archivos de código fuente y clases de un proyecto del Explorador de soluciones. La organización y la presentación dependerán de la plantilla de proyecto que se seleccione, así como de cualquier modificación que se realice. En forma de elementos de la solución para archivos aplicando a la solución en su totalidad en la carpeta Elementos de la solución del Explorador de soluciones. 20