Marcos de Desarrollo. Diseño e implementación de aplicaciones Web con.net

Transcripción

1 Marcos de Desarrollo Diseño e implementación de aplicaciones Web con.net

2 Objetivos Saber implementar autenticación basada en formularios en aplicaciones Web ASP.NET Saber restringir el acceso a recursos de la aplicación Web a usuarios no autenticados

3 Definiciones Autenticación: proceso mediante el cual se comprueba que el usuario final es quien dice ser El usuario debe especificar ciertas credenciales (normalmente un nombre de usuario y una contraseña) cuya validez se puede comprobar consultando una lista de datos conocidos. Si las credenciales son correctas, se autentica al usuario; de lo contrario, no se le autentica Autorización: proceso que consiste en determinar lo que el usuario puede y no puede hacer en la aplicación Se realiza una vez que se ha autenticado al usuario También se conoce como "control de acceso"

4 Autenticación Diseño e implementación de aplicaciones Web con.net

5 Autenticación Niveles: Internet Information Server (IIS) ASP.NET Configurable desde web.config Métodos de autenticación de IIS

6 Autenticación Internet Information Server (IIS) En IIS, se pueden seleccionar los distintos modos de autenticación: Anónimo El servidor no realiza autenticación (es la opción que usaremos) Control de autenticación se delega en ASP.NET Básica Usuario y contraseña en claro Digest Envía un hash de la contraseña Certificados Digitales El cliente necesita un certificado digital Integrada Se usan las credenciales de la cuenta de Windows (en donde reside el IIS)

7 Autenticación ASP.NET Modos de autenticación None No se realiza autenticación Acceso anónimo permitido a toda la aplicación Web Windows Delega autenticación en IIS (y se utilizaría el mecanismo seleccionado en IIS) Es el valor predeterminado Forms Autenticación basada en formularios (la que utilizaremos) Passport Autenticación a través del servicio Web MS Passport

8 Autenticación basada en formularios (forms) Solución flexible: se integra fácilmente con la aplicación Web Es necesario indicarle a ASP.NET a dónde debe redirigir al usuario en caso de que éste solicite acceso a un recurso protegido. Normalmente se redirige a la página que contiene el formulario para introducir las credenciales de usuario Una vez el usuario proporciona sus credenciales, es necesario realizar el proceso de validación ASP.NET proporciona mecanismos de validación, pero también se pueden programar mecanismos propios (e.g. MiniPortal) Si la validación es correcta, se genera un ticket de autenticación (authentication ticket) y se almacena en una cookie

9 Autenticación basada en formularios (forms) IIS ASP.NET No existe cookie Existe cookie Usuario Password Página protegida Submit loginform.aspx Cookie

10

11 Autenticación basada en formularios (forms) Configuración En IIS: Establecer método de autenticación como "acceso anónimo" En Web.config <configuration> <system.web> <authentication mode="forms"> <forms name=".aspxauth" loginurl="/authentication.aspx" timeout="30" path="/" defaulturl="/mainpage.aspx" cookieless="autodetect" /> </authentication> </system.web> </configuration> nombre de la cookie de autenticación URL a la que debe redirigirse la solicitud de inicio de sesión, si no se encuentra ninguna cookie de autenticación válida minutos de vigencia de la cookie

12 Autenticación basada en formularios (forms) Configuración Establecer autenticación IIS como anónima En Web.config <configuration> <system.web> <authentication mode="forms"> <forms name=".aspxauth" loginurl="/authentication.aspx" timeout="30" path="/" defaulturl="/mainpage.aspx" cookieless="autodetect" /> </authentication> </system.web> </configuration> ruta de acceso de las cookies emitidas por la aplicación (se recomienda "/") URL a la que se redirige tras la autenticación, si se había solicitado loginurl. Si se había solicitado un recurso protegido, se redirige automáticamente a él. UseUri UseCookies AutoDetect

13 Autenticación basada en formularios (forms) El proceso de validar la identidad de un usuario (autenticación) puede realizarse: a) Utilizando el método Authenticate de la clase System.Web.Security.FormsAuthentication b) Utilizando un método propio c) Utilizando las clases del API Membership Incluye funcionalidades implementadas para registro de usuarios, cambio de contraseña, recuperación de contraseña, etc. Por sencillez, y para comprender mejor el proceso, aquí utilizaremos la opción b) En una aplicación "real" se recomienda la opción c)

14 Autenticación basada en formularios (forms) a) Utilizando el método de la clase System.Web.Security.FormsAuthentication: public static bool Authenticate(string name, string password); Valida contra el archivo Web.config <authentication mode="forms"> <forms loginurl="~/signin.aspx" name=".aspxauth" path="/" defaulturl="~/default.aspx"> <credentials passwordformat="clear"> <user name="testuser1" password="testpass1"/> <user name="testuser2" password="testpass2"/> </credentials> </forms> </authentication>

15 Autenticación basada en formularios (forms) b) Utilizando un método propio: Por ejemplo, Login(String loginname, String clearpassword), que comprueba las credenciales contra una base de datos

16 Autenticación basada en formularios (forms) Tanto si utilizamos el método a) como si utilizamos el b), una vez hemos determinado que el usuario está autenticado, debemos indicarlo a la aplicación ASP.NET Es necesario generar un ticket de autenticación Se hace con métodos de la clase FormsAuthentication Existen varias opciones

17 Métodos de FormsAuthentication (1) public static void RedirectFromLoginPage(string username, bool createpersistentcookie); No realiza el proceso de validación. Supone que las credenciales de username han sido comprobadas y son válidas Marca al usuario username como "autenticado" Genera un ticket de autenticación en forma de cookie Si createpersistentcookie es false, se crea una cookie temporal (sólo se almacena en la memoria del navegador) Si es true, se crea una cookie persistente, que se almacena en el ordenador del cliente

18 Métodos de FormsAuthentication (2) Redirige automáticamente a la página solicitada (si se había solicitado una página protegida) o a defaulturl (si se había accedido al formulario de login -loginurl) defaulturl y loginurl se establecen en Web.config

19 Métodos de FormsAuthentication (3) public static void SetAuthCookie(string username, bool createpersistentcookie); No realiza el proceso de validación. Supone que las credenciales de username han sido comprobadas y son válidas Crea una cookie de autenticación para username y la añade a la response No redirige a ninguna página

20 Métodos de FormsAuthentication (4) public static HttpCookie GetAuthCookie(string username, bool createpersistentcookie); No realiza el proceso de validación. Supone que las credenciales de username han sido comprobadas y son válidas Crea una cookie de autenticación para username, pero no la añade a la response No redirige a ninguna página

21 Métodos de FormsAuthentication (y 5) public static void SignOut(); Borra el ticket de autenticación

22 Autorización Diseño e implementación de aplicaciones Web con.net

23 Autorización Es posible controlar de forma declarativa a qué recursos del sitio Web tienen acceso los usuarios Se configura en el Web.config e.g. Se deniega el acceso a los usuario anónimos (sólo se permite acceso al sitio Web a los usuarios autenticados) <authorization> <deny users= "?" /> </authorization> Comodines * : todos los usuarios? : Usuarios anónimos

24 Autorización Es posible definir control de acceso para recursos específicos, mediante una sección <location> e.g. se concede permiso de acceso a la página Register.aspx a todos los usuarios <location path="register.aspx"> <system.web> <authorization> <allow users ="*" /> </authorization> </system.web> </location>

25 Autorización Política restrictiva: "Todo lo que no está expresamente permitido, está prohibido" Primero se deniega el acceso a todos los usuarios anónimos <deny users ="?" /> Luego se da acceso a los recursos que no necesitan autenticación Política permisiva: "Todo lo que no está expresamente prohibido, está permitido" Primero se permite el acceso a todos los recursos <allow users ="*" /> Luego se indican aquellos recursos que necesitan autenticación

26 Bibliografía Recomendada: M. MacDonald, A. Freeman, M. Szpuszta. Pro ASP.Net 4 in C# th Ed. Apress