Comments
Description
Transcript
ASP.NET 2.0 Security
ASP.NET 2.0 Security Andrea Saltarello Software Architect – Managed Designs S.r.l. http://blogs.ugidotnet.org/pape Sponsor Parliamo di… • • • • Amarcord Membership API Login Controls bucket Implementazione di Provider Nella v1.x, l’implementazione della Forms Authentication è tutta a nostro carico: – Invocare opportunamente RedirectFromLoginPage() o SetAuthCookie() – Costruire il SecurityPrincipal nell’evento AuthenticateRequest ASP .NET v2 espone una API completa per la security applicativa: la Membership API Membership API Astrae la struttura del DB utenti dalla applicazione – I nomi “Mapper” e “Gateway” vi ricordano qualcosa? L’astrazione si presenta sotto forma di Provider (à la ADO .NET) I Provider implementano interfacce (conosciute al runtime) che espongono le operazioni securityoriented più comuni, ad es: – – – – – GetAllUsers GetUser GetRoles IsInRole … Membership Providers ASP .NET 2 offre alcuni provider: • Access (sarà rimosso in beta2, ma dicono che sarà rilasciato il sorgente attuale) • SQL Server • Active Directory E’ possibile implementare provider custom (ne parliamo dopo ) Controlli “Login” Web Controls che si basano sulla membership API: • Non richiedono scrittura di codice • Si interfacciano alle feature di security di ASP .NET 2.0 <asp:login /> <asp:loginname /> <asp:loginstatus /> <asp:loginview /> <asp:passwordrecovery /> <asp:createuserwizard /> <asp:changepassword /> Demo ASP.NET Admin Tool I provider espongono anche le funzionalità di create/update/delete degli utenti, quindi è possibile creare un tool generico di amministrazione basato sulla membership API L’idea è troppo intelligente per essere mia, infatti ASP.NET 2 lo ha già Demo Membership API vs. Custom DB Per utilizzare il proprio DB utenti, è sufficiente creare un nuovo provider Occorre implementare: – Membership Provider: implementa il mapping tra la API e il database utenti – Role Provider: implementa il mapping tra gli utenti ed il database dei ruoli applicativi Membership Providers E’ una classe derivata di System.Web.Security.MembershipProvider Deve essere registrata <membership defaultProvider="CustomMembershipProvider"> <providers> <add name="CustomMembershipProvider“ type=“MioNamespace.CustomMembershipProvider" /> </providers> </membership> Role Providers E’ una classe derivata di System.Web.Security.RoleProvider Deve essere registrata <roleManager enabled="true" defaultProvider="CustomRoleProvider"> <providers> <add name="CustomRoleProvider" type=“MioNamespace.CustomRoleProvider" /> </providers> </roleManager> Porting di codebase ASP.NET 1.1 In fase di migrazione di applicazioni ASP.NET esistenti, è possibile sfruttare la membership API utilizzando il pattern Adapter per esporre sotto forma di provider le funzionalità implementate ai… “tempi della pietra” (cioè con la v1.1 ) Adapter pattern 101 Convert the interface of a class into another interface clients expect. Adapter lets classes work together that couldn't otherwise because of incompatible interfaces. demo Role-based Navigation L’elemento siteMapNode nel file web.sitemap dispone di un attributo roles L’attributo roles specifica i ruoli applicativi cui sarà accessibile la voce del menu. Richiede l’abilitazione del SecurityTrimming SecurityTrimming Non può essere (dis)abilitato programmaticamente Deve essere impostato nel file di configurazione: <siteMap defaultProvider="AspNetXmlSiteMapProvider" enabled="true"> <providers> <clear /> <add name="AspNetXmlSiteMapProvider" type="System.Web.XmlSiteMapProvider, System.Web, Version=1.2.3400.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a" siteMapFile="web.sitemap" SecurityTrimmingEnabled="true" /> </providers> </siteMap> demo Links http://www.ugidotnet.org http://forum.ugidotnet.org http://mobile.ugidotnet.org http://wiki.ugidotnet.org