Bài giảng ASP.NET Security Form Authentication

Security Form Authentication là phương thức giúp đảm bảo an toàn cho các ứng dụng ASP.NET. Nó đóng vai trò quan trọng trong việc đảm bảo an ninh bảo mật công nghệ thông tin. Và để hiểu rõ hơn về điều này mời các bạn tham khảo bài giảng ASP.NET Security Form Authentication sau đây.
Nội dung trích xuất từ tài liệu:
Bài giảng ASP.NET Security Form Authentication 1 NỘI DUNG 2  Login Controls  Security Login Controls & MemberShip 3  LoginStatus Control  Login->Trang đăng nhập (định nghĩa trong web.config)  Logout ->Tự động  Từ chối truy xuất các tài nguyên được bảo vệ -> trang đăng nhập Security 4  Không thể truy xuất các tài nguyên mật khi:  Chưa đăng nhập hoặc  Không thuộc vai trò phù hợp  Các bước  Tổ chức các tài nguyên bảo vệ  Gán quyền cho các user, role phù hợp  Định nghĩa trang đăng nhập sử dụng khi bị từ chối Authentication 5  Việc sử dụng chức năng login rất thường phổ biến trong ứng dụng web  Hạn chế user truy cập vào vùng an toàn  User đã đăng ký mới có quyền sử dụng các chức năng như:  Post bài, download, viết comment…  Xây dựng ứng dụng web với chức năng login cũng không quá khó khăn.  Từ việc cho phép user truy cập một trang nào đó, hoặc những chỉ những chức năng nào đó của một trang web Authentication 6  Các chức năng Authentication được ASP.NET hỗ trợ.  Forms Authentication thường được đề cập do tính tiện dụng của nó.  Foms Authentication cho phép developer lưu trữ thông tin xác thực như username, pass trong file web.config, hoặc trong database, XML file, text file.  Điều quan trọng là form authentication sẽ làm những công việc state-tracking cho developer. Web.config-Authentication 7 Authentication Thuộc tính Mô tả Name Tên của cookie sử dụng form authentication LoginUrl URL khi user chưa đăng nhập sẽ được gởi đến Protection Phương thức dùng để bảo vệ cookie Timeout Thời gian để cookie hết hạn Form authentication 8 Credential Thuộc tính Mô tả PasswordFormat Định dạng cho password: clear, SHA1, MD5 User Lưu trữ thông tin về user name & pass Authorization Deny ! Allow Từ chối hoặc cho phép truy cập trang nào đó Web.config-Authorization (1) 9  Từ chối những user chưa đăng nhập Web.config-Authorization (2) 10  Chỉ chập nhận 2 user là admin và nhatnghe Web.config-Authorization (3) 11  Chỉ chấp nhận các users thuộc vào 2 role là Administrator hoặc Collaborator. Web.Config 12 Web.Config Không cho user anonymous truy cập Minh họa sử dụng Forms Authen 13  Tạo một ứng dụng Web App đơn giản Trang login.aspx: để đăng nhập Trang SecurePage.aspx: là trang được bảo vệ, chỉ có user có quyền mới có thể vào được. File cấu hình Web.config để cấu hình Forms Authentication Minh họa sử dụng Forms Authen 14  Trang login.aspx protected void btnLogin_Click(object sender, EventArgs e) { if (FormsAuthentication.Authenticate(txtUserName.Text,txtPassword.Text)) FormsAuthentication.RedirectFromLoginPage(txtUserName.Text, true); else lblInfo.Text = Đăng nhập không thành công!; } Minh họa sử dụng Forms Authen 15  Trang SercurePage.aspx Hiển thị thông tin user đăng nhập, chức năng logout. LoginName LoginStatus Minh họa sử dụng Forms Authen 16  File cấu hình Web.config Minh họa sử dụng Forms Authen 17  Chạy thử nghiệm Minh họa 2 18  Trong minh họa 1: Thông tin username, password được lưu trong file web.config Tất cả các trang của ứng dụng đều phải yêu cầu đăng nhập  Minh họa 2: Thông tin username, password lưu bên ngoài file config. Cho một số trang yêu cầu phải đăng nhập. Minh họa 2 19  Tạo các trang Index.aspx Login.aspx SecurePage.aspx publicPage.aspx Web.config Minh họa 2 20  Tạo trang login.aspx protected bool CheckUser(string user, string pass) { // phần check user này ta có thể truy xuất database, // file xml, file text để lấy thông tin account. //Phần demo nên ta hardcode :D luôn! if (user == “demo && pass == “demo@123) return true; return false; } protected void btnLogin_Click(object sender, EventArgs e) { if (CheckUser(txtUserName.Text,txtPassword.Text)) FormsAuthentication.RedirectFromLoginPage(txtUserName.Text, true); else lblInfo.Text = Đăng nhập không thành công!; }