Ты, наверное как и любой программист, занимающийся разработкой web-приложений, ни раз сталкивался с проблемой несанкционированного доступа. Ведь одни сайты рассчитаны на свободный доступ для всех посетителей, другие же являются закрытыми, и доступ к ним предоставляется только отдельным пользователям. Частым решением этой проблемы является идентификация пользователя путем логина/пароля.

Базовые понятия систем безопасности

Существуют два понятия, без которых невозможно обсуждение безопасности:

  • Аутентификация (authentication) – процесс определения личности пользователя, требующий верные логин и пароль, чтобы доказать, что он на самом деле тот, за кого себя выдает.
  • Авторизация (authorization) – это процесс выставления прав пользователю, прошедшего аутентификацию. 

Способы аутентификации ASP.NET

Среда ASP.NET предоставляет три способа аутентификации:

  • Windows – аутентификация на основе системы диспетчера локальной сети Windows
    NT.
  • Forms – аутентификация на основе cookies.
  • Passport – аутентификация с помощью службы Passport от
    Microsoft.

Для того, чтобы выбрать тот или иной способ аутентификации потребуется внести изменения в файл конфигурации web.config следующим образом (я выбрал метод Forms - как наиболее актуальную при разработке web-приложений):

<configuration>
<system.web>
<!--другие настройки пропущены -->
<authentication mode=”Forms” />
</system.web>
</configuration>

Правила авторизации

Вы можете справедливо заметить, что после внесения показанных выше изменений ничего особенного не происходит.
Эта ситуация возникает из-за того, что мы не запретили доступ анонимным пользователям. Для
такого запрета надо внести еще одно изменение в файле
web.config:

<configuration>
<system.web>
<!--другие настройки пропущены -->
<authorization>
<deny users=”?” />
</authorization>
</system.web>
</configuration>

Этот знак - (?) - обозначает всех анонимных пользователей. А включая это правило вы запрещаете им доступ. Теперь каждый пользователь должен быть аутентифицирован, и каждый
не аутентифицированный будет перенаправлен на страницу регистрации.

Страница регистрации 

После того, как вы выбрали режим аутентификации и правила авторизации, вам нужно создать страницу, которая запрашивает информацию у пользователя и решает, можно ли его аутентифицировать. Но об этом чуть позже. А пока я поясню, как мы это будем делать. Пароли и логины мы будем хранить,
например, в файле web.config. Пример того, как это сделать показан ниже:

<configuration>
<system.web>
<!--другие настройки пропущены -->
<authentication mode=”Forms” loginUrl=”login.aspx”>
<credentials passwordFormat=”Clear”>
<user name=”vasya” password=”pupkin” />
</credentials>
</forms>
</system.web>
</configuration>

Небольшие пояснения: параметр loginUrl в теге authentication указывает на страницу регистрации (по умолчанию – default.aspx), а параметр passwordFormat в теге credentials означает, что логин и пароль не зашифрованы (альтернативы – использовать алгоритмы шифрования SHA1 и MD5. О них мы поговорим позже ).

Для проверки верности логина и пароля будем использовать метод
FormsAuthentication. Authenticate(string login,string pass). А для регистрации пользователя в приложение ASP.NET путем создания cookie, и перенаправления на страницу, которая была изначально запрошена пользователем, будем использовать метод
FormsAuthentication. RedirectFromLoginPage(string login, bool CreatePersistentCookie) (второй параметр указывает на то,
каким будет посланный cookie – постоянный (срок годности
- 50 лет, значение true) или нет (false)).

Вот, собственно, и сам код страницы регистрации:

<%@ Page Language="C#" %
<script runat="server">
//
событие, происходящее по нажатию кнопки
void LoginBtn_Click(Object sender, EventArgs e) {
//
если логин и пароль верны, то перенаправляем на запрашиваемую страницу… 
if (FormsAuthentication.Authenticate( UserName.Text,UserPass.Text)) {
FormsAuthentication.RedirectFromLoginPage( UserName.Text, false);
}
else {
//
иначе выводим текст с ошибкой
Msg.Text = "Неправильные данные: попробуйте повторить попытку";
}
}
}
</script>
<html>
<head>
<title>Login Page</title>
</head>
<body>
<form runat="server">
Логин: <asp:TextBox id="UserName" runat="server"></asp:TextBox>
<br>
Пароль: <asp:TextBox id="UserPass" runat="server" TextMode="Password"></asp:TextBox>
<br>
<asp:button id="LoginBtn" onclick="LoginBtn_Click" runat="server" text="Пуск!"></asp:button>
<asp:Label id="Msg" runat="server" forecolor="red"></asp:Label>
</form>
</body>
</html>

Защита паролей с помощью шифрования

В предыдущем примере список логинов и паролей хранился в свободном формате, а это сам
понимаешь к чему приводит (это не связано с серьезным риском, т.к. запросы на файлы config автоматом отклоняются, но все же приводит к потенциальной уязвимости системы). Решением этой проблемы стало использование хешированных значений пароля. Чтобы добавить в файл web.config хешированный пароль нужно использовать метод
HashPasswordForStroringInConfigFile( string pass, string algorithm) класса FormsAuthentication (algorithm принимает значения либо “SHA1”,
либо “MD5”), и в теге passwordFormat выставить нужное значение.

Bonus track

Сейчас я приведу код, который ты сможешь использовать уже в скором будущем (если начнешь учить ASP.NET). Этот код проверяет указанный в форме логии и пароль в таблице БД Access или SQL Server (для SQL Server надо заменить строку подключения coon_str и заменить префикс OleDb на Sql).

void LoginBtn_Click(Object sender, EventArgs e) { 
string conn_str = "PROVIDER=MICROSOFT.JET. OLEDB.4.0;DATA SOURCE="
+Server.MapPath("users.mdb");
string sqlselect=”SELECT Name, Password FROM users Where Name =’”+txtUserName.Text +”’ AND Password=’”+txtPassword.text+”’”
//
создаем объекты ADO.NET
OleDbConnection conn = new OleDbConnection(conn_str)
try 

conn.Open();
OleDbCommand cmd = new OleDbCommand(sqlselect, conn);
OleDbDataReader reader=cmd.ExecuteReader();
reader.Read();
if (txtPassword.Text==reader[“Password]||txtUserName.Text==reader[“Name”])
FormsAuthentication.RedirectFromLoginPage(txtUserName.Text,false)
reader.Close();
}
catch (Exception err)
{
Response.Write(err.Message);
}
finally
{
conn.Close();
}
}

Check Also

Изучаем ПЛК. Краткий гайд по поиску уязвимостей в промышленных контроллерах

Если ты думаешь, что контроллеры, которые ставят в зданиях и на заводах, защищены намного …

Оставить мнение