Duda sobre seguridad de un sitio

marliesmartinez · #1 (**permalink**) 30/04/2008, 08:13

Hola, esta vez mi duda es de seguridad, soy nueva en el tema de web y me han explicado varias formas de modelar con .net el tema de la seguridad. Resulta que todas estas formas que me han explicado incluyen una BD que brinda la herramienta (la que se crea mediante aspnet_regsql.exe).

Resulta que para mi caso es distinto, ya que tengo que usar una tabla clientes (que pertenece a la BD ppal de una empresa). Y en esa empresa me piden que la seguridad la haga mediante una consulta sql a esa tabla verificando si el que se autentica es cliente y denegando en caso de no serlo.

El tema es que no se hacerlo de esta forma y no tengo la menor idea en el visual studio de cómo modelar la seguridad sin utilizar las tablas que la herramienta brinda por default para este tema.

Por favor si alguien me pude facilitar un ejemplo implementado por el cuál me pueda guiar y aclararme un poco mis dudas se lo agradeceré. :cry:

jlbautista · #2 (**permalink**) 30/04/2008, 08:38

Algo de teoría, pero bastante completo... creo q te puede dar una idea sobre lo q deseas y puedes hacer en cuanto a Seguridad y Control de Acceso:

http://support.microsoft.com/kb/306590/es

Si necesitas algo más, con gusto lo expones y espero podamos ayudarte...
ANIMO

marliesmartinez · #3 (**permalink**) 01/05/2008, 16:15

--------------------------------------------------------------------------------
El tema es que mi sitio, no requiere de roles, simplemente va a ser si estas estas autenticado déjalo pasar a una pagina determinada; si no lo está; redireccionalo a una página de autenticación.

Sería por supuesto muy fácil si pudiera usar el Forms Authentication Provider que brinda .net, pero no lo puedo hacer, ya que esta vez tengo que verificar usuario y contraseña en una tabla cliente que tiene otro nombre y diferentes campos que los que tiene la tabla users del sqlprovider.

Entonces quería saber si hay alguna forma de implementar esto, que no sea creando un provider nuevo (algo que es complicado), ni tampoco utilizando variables de sesión.

Dígame que opina?

jlbautista · #4 (**permalink**) 02/05/2008, 09:37

En una app q desarrollaron aqui en mi trabajo, y sobre la cual se crean los demás módulos usa autenticación por Forms, y esa fue creada por uno de los desarrolladores, utilizando una base de datos, roles, estructuras, etc etc... creo, según a lo q he leido de tu problema, q se acerca a lo q requieres.

Lo q se hace es basar la autenticación a Secciones de la App en ciertas reglas, te paso una parte del Web.Config q usamos:

Código:

<system.web>
 ...
   <authentication mode="Forms">
        <forms name="SEValida" path="/" loginUrl="Inicio.aspx" protection="All" timeout="60"/>
   </authentication>
   <authorization>
 	<deny users="?"/>
   </authorization>
</system.web>

<location path="Publico">
<system.web>
	<authorization>
		<allow users="*"/>
        </authorization>
</system.web>
</location>
...

Eso es creado por nosotros, con reglas para un ACCESO PUBLICO (<location path="Publico">) donde puede acceder cualquiera(<allow users="*"/>), esté o no logeado, además de otra sección donde por fuerza deber existir un logeo (<deny users="?"/>), sino, te redirecciona a la página destinada para ello (loginUrl="Inicio.aspx").

Espero te sirva, y pues a seguir investigando, q al final de cuentas, nada es tan sencillo como parece...
Suerte, y ánimo

jlbautista · #5 (**permalink**) 02/05/2008, 09:50

Te paso esta URL con un ejemplo básico de Autenticación y varias técnicas

http://www.elguille.info/NET/ASPNET/...orialLogin.htm

Esto es un buen ejemplo de como usar el acceso validado, además de evitar SQL Injection

http://www.elguille.info/colabora/pu...linjection.htm

A ver q te parece

jlbautista · #6 (**permalink**) 02/05/2008, 10:48

Aun más

http://www.elguille.info/NET/ASPNET/...s_privados.htm