Blog de Jorge Pedraza

abril 11, 2011

Autenticación y Autorización de ASP.NET

Filed under: Seguridad — JorgePedraza @ 7:36 am
Tags: , , ,

Hola, la presente de este artículos es para resaltar de forma rápida y sencilla uno de los temas de seguridad en ASP.NET.

Dentro de la seguridad de ASP.NET se menciona el siguiente esquema fundamental:

  1. Autenticación
  2. Autorización

Autenticación: Es el mecanismo para validar las credenciales de usuario (Nombre y Clave) contra el acceso de un sitio web.

Descripción de la Autenticación:

Este mecanismo generalmente representa una interfaz de solicitud y validación de credenciales de usuarios, para aquellos usuarios que intenta ingresar a un sitio Web protegido.

Tipos de Autenticación:

Tipos

Descripción

Windows

Valida credenciales de usuarios contra las cuentas de usuarios de Microsoft Windows

Formulario

Valida credenciales de usuario contra cualquier repositorio de datos estándar.

Directorio Activo

Valida credenciales de usuario contra el Directorio activo de la red empresarial

Membership

Valida credenciales de usuario contra origen de datos especifico, por excelencia Microsoft SQL Server

Windows Identity Foundation

Valida credenciales de usuarios contra un servicio estandarizado de forma global en la Red.

Parámetros Básico de la Autenticación en ASP.NET (Web.config):

<system.web>

  <authentication mode="Forms">
    <forms loginUrl="login.aspx"></forms>
  </authentication>

  <authorization>
    <deny users="?">
  </authorization>

</system.web>

Ahora que conoce el mecanismo de Autenticación, se continua en el siguiente paso: El acceso autorizado a recursos con la Autorización en ASP.NET

Autorización: Es el mecanismo que establece permisos de acceso a recursos dentro del sitio Web para usuarios ya autenticados.

Descripción de la Autorización:

Este mecanismo toma como patrón base el sistema tradicional de Roles y Reglas de Acceso, donde cada Rol contiene un conjunto de reglas de acceso para usar dentro del sitio Web. Por ejemplo:

Roles

Reglas de Acceso

Administrador

Obtiene acceso a todos los recursos del sitio Web

Usuario

Obtiene acceso a cierto recursos del sitio Web

Invitado

Obtiene acceso a recursos básico del sitio Web

Parámetros Básicos de la Autorización en ASP.NET (Web.Config):

<system.web>

  <authorization>
    <allow roles="Finanzas, Administradores" />
    <allow users="Mario, Pedro" />
    <deny users=" * "/>
  </authorization>

</system.web>

Puntos claves para optimizar la Autenticación y Autorización de ASP.NET:

  • Validar la unicidad de las credenciales de usuarios contra el acceso de determinado sitio Web.
  • Evitar el uso de Query String para manipular información sensible de determinado usuario.
  • Proteger la entrada de datos contra XSS (Cross-Site-scripting).
  • Usar comandos parametrizado contra origen de datos.
  • Evitar el uso de Query dinámico a nivel de procedimientos almacenado.
  • Usar certificado digital SSL en ciertos módulos Web de extremada privacidad.

Código Fuente de Interés:

Links de Interés:

Dejar un comentario »

Aún no hay comentarios.

RSS feed for comments on this post. TrackBack URI

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Blog de WordPress.com.

A %d blogueros les gusta esto: