Bảo mật với ASP.NET MVC Application

Có nhiều phương pháp xác thực người dùng như Windows Authentication, Forms Authentication. Ở phần này chỉ giới thiệu phương pháp xác thực người dùng dựa trên Forms (dùng C#). Mục đích của hướng dẫn này là giảng giải cách dùng Forms Authentication để yêu cầu bảo mật bằng password cho các Views.
Nội dung trích xuất từ tài liệu:
Bảo mật với ASP.NET MVC ApplicationBài số 6Bảo mật với ASP.NET MVC ApplicationTable of Contents Authentication (Xác thực người dùng) ................................................................................ 21 Tạo người dùng mặc định với ASP.NET MVC Application ............................................. 2 1.1 Quản lý người dùng với công cụ Website Administration Tool ........................................ 3 1.2 Roles (Phân quyền nhóm người dùng) .................................................................................. 4 1.3 Cấu hình xác thực người dùng ............................................................................................. 72 Sử dụng SQL Server 2005 ...................................................................................................... 8 2.1 Cấu hình truy nhập database trong SQL Server ................................................................... 9 2.2 Câu hỏi ôn tâ ̣p ...................................................................................................................... 103 Tài liệu tham khảo ............................................................................................................... 1041 Authentication (Xác thực người dùng)Có nhiều phương pháp xác thực người dùng như Windows Authentication, Forms Authentication. Ở phần này chỉgiới thiê ̣u phương pháp xác thực người dùng dựa trên Forms (dùng C #). Mục đích của hướng dẫn này là giảnggiải cách dùng Forms Authentication để yêu cầ u bảo mâ ̣t bằ ng password cho các Views . Sử du ̣ng WebsiteAdministration Tool ta ̣o người dùng và phân quyề n nhóm người dùng, ngăn chă ̣n những người dùng trái phép. 1.1 Tạo người dùng mặc định với ASP.NET MVC ApplicationMặc định khi ứng dụng được tạo sẽ có sẵn một Controllers có tên là AccountController.cs và có sẵn các Viewstương ứng ChangePassword.aspx, ChangePasswordSuccess.aspx, Login.aspx, Register.aspx (Figure 1) Figure 1. Controllers và Views có sẵn để tạo người dùngViews thể hiện việc register một người dùng mới như sau. (Figure 2) Figure 2. Tạo người dùng sử dụng công cụ của ASP.NET MVC Application Microsoft Vietnam – DPE team | Bài số 6: Bảo mật với ASP.NET MVC Application 2 1.2 Quản lý người dùng với công cụ Website Administration ToolChọn menu Projects  ASP.NET Configuration. Xuấ t hiê ̣n công cu ̣ Website Administration Tool  Chọn tabSecurity (Figure 3) Figure 3. Công cụ Website Administration ToolClick vào link Create User để tạo người dùng. Chẳng hạn tạo người dùng tên Lan (Figure 4) Figure 4. Tạo người dùng với Website Administration Tool Microsoft Vietnam – DPE team | Bài số 6: Bảo mật với ASP.NET MVC Application 3 1.3 Roles (Phân quyền nhóm người dùng)Để tạo role trước hết cần phải enable role bằng cách click vào link Enable roles sau đó click vào link Create andManage roles  tạo role có tên Administrators (Figure 5) Figure 5. Tạo role cho người dùngTiếp theo tạo một người dùng mới kết hợp với role đã có (Figure 6) Microsoft Vietnam – DPE team | Bài số 6: Bảo mật với ASP.NET MVC Application 4 Figure 6. Tạo người dùng với role AdministratorsBây giờ ta có 2 người dùng mới, người dùng Lan không thuộc roles và người dùng Trang thuộc rolesAdministrators.Xây dựng một controllers xem tin tức được bảo mật. Yêu cầu người dùng phải đăng nhập mới có quyền xem. Tùythuộc đối tượng người dùng nào sẽ được vào các vùng tin tức nào.BanHangControllersTinTucController.csusing System;using System.Collections.Generic;using System.Linq;using System.Web;using System.Web.Mvc;using System.Web.Mvc.Ajax;namespace BanHang.Controllers{ public class TinTucController : Controller { public ActionResult Index() { return View(); } [Authorize] public ActionResult NguoiDung() { return View(); } [Authorize(Users=Lan)] public ActionResult NguoiDungCuThe() { return View(); } [Authorize(Roles = Administrators)] public ActionResult NhomNguoiDung() { return View(); Microsoft Vietnam – DPE team | Bài số 6: Bảo mật với ASP.NET MVC Application 5 } }}Tạo ra các Views tương ứng với các phương thức của TinTucController.cs: Index.aspx dành cho tất cả ngườidùng (kể cả người dùng không được xác thực), NguoiDung.aspx chỉ dành cho những người dùng đã được xácthực, NguoiDungCuThe.aspx dành cho người dùng đặc biệt tên là Lan, NhomNg ...