Duda con acceso restringido a dif. páginas

marx-pola · #1 (**permalink**) 09/08/2002, 16:15

Hoy estoy re-hinchapelotas!

Tengo las siguientes dudas:
En mi sitio tengo una seccion que no es visible donde por medio de un formulario se accede con (teoricamente) mi usuario y password.

1- Pregunta: ¿mi usuario y pass, tiene que estar en la misma tabla "USUARIOS", donde se registran todos?

Si por esas casualidades de la vida, un usuario llega a ese lugar y coloca su usuario y su password ¿cómo hago para que no acceda?. O sea, ese es el problema, si tengo mi pass y mi usuario, ¿en donde le digo que solo con los mois puedo ingresar?

Pregunto esto porque estoy tomando el ejemplo de "ASPTUTOR.COM Restringir el acceso a páginas con ASP", donde al final si estan bien los datos ingresados me lleva a la pág. default.asp.

Espero haberme expresado correctamente y gracias de antemano.

Marx.

Lynx · #2 (**permalink**) 09/08/2002, 16:28

Hola, a tu problema te tengo dos soluciones:

La primera y quizas más sencilla aunque no muy buena que digamos es que y de acuerdo a lo que te entendi tu tienes un usuario y un password, que vendría siendo como de nivel superior al de los otros usuarios, por lo tanto espero que tengas un Identificador unico para tu usuario, ya que de ser asi puedes pasar por la validacion de usuario y password y ya dentro de la pagina que esta valide si el identificador del usuario que entro es el tuyo y de lo contrario que los dirija a otra pagina.

Segunda, que dentro de tu tabla de usuarios manejes un campo de nivel de usuario, en la que solo los usuarios que tu desees tengan sierto nivel como para entrar en esa pagina y pues que al entrar alguien a esa pagina verifique el nivel que tiene asignado para ver si es usuario autorizado.

Bueno espero haberte sido de ayuda.

marx-pola · #3 (**permalink**) 09/08/2002, 16:33

Lynx MASTER! Eso mismo es lo que estaba buscando... menos mal que me entendiste. Pero es lo que no sé hacer. Si no es mucha molestia y me puedes ó pueden tirar una soga de como hacerlo, o de algún lugar de donde sacar la explicación... se los agradecería.

Saludos a todos.

Marx.

Lynx · #4 (**permalink**) 09/08/2002, 17:07

Presisamente por eso te pido que me digas la estructura de tu tabla de usuarios, o mejor y haber si te sirve te voy a dar los campos minimos que requiere tu tabla de usuarios para hacer lo que deseas:

Tabla Usuario:
Id_Usuario, de tipo int y que sea identidad (no disponible para duplicacion).
Nombre, nombre del usuario.
Nivel, este puedes manejarlo como integer o como char de longitud 1, ya que puedes representar los niveles como numeros: 1, 2 ,3 o tambien si lo deseas y mas simple si quieres de tipo bit donde 1 indique que es adiminostrador y 0 pues no.

Bueno estos son los campos de tu tabla que creo necesitas como minimo, que por supuesto no tienen que tener justamente el nombre que yo aqui te digo.

AlZuwaga · #5 (**permalink**) 09/08/2002, 17:21

completando un poco más la idea de Lynks, podrías darle a la variable de sesion que usás para comprobar que son usuarios registrados, el valor del campo 'Nivel'

Luego, suponiendo que nivel 0 sean los usuarios normales y 1 el admin, podés restringir el acceso a las páginas de una forma similar a esta:

pagina restringida normal:

<%
' no importa el nivel que tengan.
' si tiene un valor está autorizado...

If Session("Nivel") = "" then
response.redirect "login.asp"
end if
%>

pagina restringida solo para admin:
<%
If Session("Nivel") <> 1 then
response.redirect "login.asp"
end if
%>

algo así

marx-pola · #6 (**permalink**) 09/08/2002, 17:50

Hola Lynx! Los campos de mi tabla son:
idusuario: autonumerico
usuario
password
nombre
apellido
...

... bastante parecido a lo que me decías. Ahora, ¿me podrías explicar un poco más sobre los niveles? Eso de integer, char o bit no me lo entendí... por favor?.

Por lo que creo que entiendo, a los usuarios comunes al darse de alta debería cargarle por ej. el NIVEL nro. 2 por defecto y yo como administrador debería tener el nro 1, entonces cuando alguien quiere entrar al sector de "administración del sitio", debería checar "ese nro. de nivel" ¿verdad?

Puffff, espero que no le haya errado tanto, ya que tarda un poco en llegar la info a mi cerebro...

GRACIAS de nuevo Lynx!!!!

marx-pola · #7 (**permalink**) 09/08/2002, 17:52

dazuaga MASTER!!!!! Me ganaste de mano. Le diste ENTER primero que yo.... jejeje.

A CHECAR SE A DHIYOOOOOOOOOOOOOOOO.

GRACIAS.

marx-pola · #8 (**permalink**) 09/08/2002, 17:58

Mmmmm dazuaga, ¿como le das el nivel 1 al administrador? ¿de donde lo tomás? y ¿como le das otro nivel a los usuarios? Ahí tengo el bolonqui nomás...

Lynx.... ¿que opinás?

Me va a salir caraj.. ya van a ver...

marx-pola · #9 (**permalink**) 10/08/2002, 09:36

Perdón amigos, pero no logro que me funcione. ¿no me responden la preguntita de arriba por favor?

Gracias.

Marx.

GTA2 · #10 (**permalink**) 10/08/2002, 16:06

cuando ingresas nuevos usuarios, ahi le das el nivel.......

otra cosa...

define una variable de session inicializada en "" en el global asa.... .
entonces cuando entra un usuario a la variable de session le das el username del usuario.-

des pues en cada pagina preguntas si la variable de ssion es "" entonces le prohibes el acceso: asi:-

<%@LANGUAGE="VBSCRIPT"%>
<%
'verifica que haya iniciado sesion
Response.buffer=true

if Session("ID_CLI")=Cstr("0") then %>

<script language="VbScript">

</script>
<%
Response.Status="401 Prohibido"
Response.End

end if
%>

Mas ayuda no se puede. creo que yo y los demas hemos sido suficientemente claros.

saludos.

<html>
<head>
<title></title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>

<body bgcolor="#FFFFFF" text="#000000">
<img src="http://pukem.face.ubiobio.cl/sapi/gta2.jpg">
</body>
</html>

Lynx · #11 (**permalink**) 12/08/2002, 11:26

Disculpa la demora en responder:

No se de que trate tu sitio que estas trabajando, pero me imagino que tienes una forma de registro para usuarios, bueno a estos usuarios que se registren a todos les das nivel 2 (usuario normal) y despues dentro de tu sistema puedes hacer una sección administrativa donde presentes reportes de tus usuarios, con posibilidad de modificar su nivel, asi podras cambiarlos de administrador (1) a usuario normal (2) y viceversa.

Bueno espero haberte sido de ayuda.

marx-pola · #12 (**permalink**) 12/08/2002, 12:48

Lynx! Paciencia por favor y gracias como siempre por contestar. Lo del nivel y lo de las tablas ya lo entendí y voy a probar todo esto que me explicaron.

GTA2. gracias a vos tambien y espero que siempre tengas paciencia con los que saben menos. Ah! y acordate de una cosa: "siempre se puede encontrar más ayuda. Lo único que hace falta es voluntad."

Gracias a todos y espero que sepan comprender mi firma...

"Algún día sabré tanto de ASP, como Maradona juega al futbol..."

edcala · #13 (**permalink**) 06/01/2005, 09:38

Hola a todos y gracias por la respuesta.

Segui los pasos expuesto arriba, para restringir los accesos por niveles. Pero no me funciona, no se donde esté errando. Cómo, en que página y cuándo tomo el nivel para verificar. Los niveles son: 1=administrador, 2=usuario.

Antes de ingresar deben introducir su usuario y password en una pagina "Login.asp", si es correcto pasa a la página de "destino.asp" y si no es correcto vuelve a la misma pagina de "login.asp", para ello pasa previamente por una pagina de seguridad donde se verifica si se logueó correctamente. Los códigos son:

pagina Login.asp
<%else
usuario=replace(request.form("usuario"),"'","")
codigo=replace(request.form("codigo"),"'","")
password=replace(request.form("password"),"'","")
Set Conn = Server.CreateObject("ADODB.Connection")
Conn.Open("DRIVER={Microsoft Access Driver (*.mdb)}; DBQ=" & Server.MapPath("panku.mdb"))
set rs = CreateObject("ADODB.Recordset")
sqltxt="Select nivel,* from usuarios where usuario='"&usuario&"' and codigo='"&codigo&"' and password='"&password&"'"
rs.Open sqltxt, conn
if not rs.eof then
if rs("usuario")=usuario and rs("codigo")=codigo and rs("password")=password then
session("autorizacion")=1
response.redirect "ruwaq/MasterPanel.asp"
end if
else
session("autorizacion")=-1
end if
rs.close
set rs=nothing
conn.close
set conn=nothing
if session("autorizacion")=-1 or session("autorizacion")="" then
response.redirect "MasterLogin.asp?msg=Usuario%20o%20password%20inco rrectos"
end if
end if%>

pagina "destino.asp", tiene un include:


Página de seguridad.asp
<%
Response.Buffer = true
if session("autorizacion")<>1 then
response.redirect "/pitaq/MasterLogin.asp"
response.end
end if
%>

Donde tomo el "NIVEL" de usuario, como lo compruebo. Ayuda por favor!!!!!!

edcala · #14 (**permalink**) 06/01/2005, 16:50

A ver si alguien nos quiere dar la mano!!!!!!

sjam7 · #15 (**permalink**) 06/01/2005, 17:00

yo lo que hago, a la hora de autentificar al usuario despues del form, recojo los datos y si son los mios, ya sea comprobados directamente en el codigo asp o bajados de una base de datos y si son correctos meto en sessiones algo asi:

session("user")=usuario
session("tipo")="webmaster"

y en el encabezado de las que solo puedo entrar yo pongo algo asi:
if session("tipo")<>"webmaster" then
response.redirect "login.asp?error=nivel"
end if
.............y el codigo de la pagina