Autenticación y Autorización de ASP.NET

Hola, la presente de este artículos es para resaltar de forma rápida y sencilla uno de los temas de seguridad en ASP.NET.

Dentro de la seguridad de ASP.NET se menciona el siguiente esquema fundamental:

1. Autenticación
2. Autorización

Autenticación: Es el mecanismo para validar las credenciales de usuario (Nombre y Clave) contra el acceso de un sitio web.

Descripción de la Autenticación:

Este mecanismo generalmente representa una interfaz de solicitud y validación de credenciales de usuarios, para aquellos usuarios que intenta ingresar a un sitio Web protegido.

Tipos de Autenticación:

Tipos	Descripción
Windows	Valida credenciales de usuarios contra las cuentas de usuarios de Microsoft Windows
Formulario	Valida credenciales de usuario contra cualquier repositorio de datos estándar.
Directorio Activo	Valida credenciales de usuario contra el Directorio activo de la red empresarial
Membership	Valida credenciales de usuario contra origen de datos especifico, por excelencia Microsoft SQL Server
Windows Identity Foundation	Valida credenciales de usuarios contra un servicio estandarizado de forma global en la Red.

Parámetros Básico de la Autenticación en ASP.NET (Web.config):

<system.web>

  <authentication mode="Forms">
    <forms loginUrl="login.aspx"></forms>
  </authentication>

  <authorization>
    <deny users="?">
  </authorization>

</system.web>

Ahora que conoce el mecanismo de Autenticación, se continua en el siguiente paso: El acceso autorizado a recursos con la Autorización en ASP.NET

Autorización: Es el mecanismo que establece permisos de acceso a recursos dentro del sitio Web para usuarios ya autenticados.

Descripción de la Autorización:

Este mecanismo toma como patrón base el sistema tradicional de Roles y Reglas de Acceso, donde cada Rol contiene un conjunto de reglas de acceso para usar dentro del sitio Web. Por ejemplo:

Roles	Reglas de Acceso
Administrador	Obtiene acceso a todos los recursos del sitio Web
Usuario	Obtiene acceso a cierto recursos del sitio Web
Invitado	Obtiene acceso a recursos básico del sitio Web

Parámetros Básicos de la Autorización en ASP.NET (Web.Config):

<system.web>

  <authorization>
    <allow roles="Finanzas, Administradores" />
    <allow users="Mario, Pedro" />
    <deny users=" * "/>
  </authorization>

</system.web>

Puntos claves para optimizar la Autenticación y Autorización de ASP.NET:

• Validar la unicidad de las credenciales de usuarios contra el acceso de determinado sitio Web.
• Evitar el uso de Query String para manipular información sensible de determinado usuario.
• Proteger la entrada de datos contra XSS (Cross-Site-scripting).
• Usar comandos parametrizado contra origen de datos.
• Evitar el uso de Query dinámico a nivel de procedimientos almacenado.
• Usar certificado digital SSL en ciertos módulos Web de extremada privacidad.

Código Fuente de Interés:

• Authentication and Authorization (ASP.NET 4.0)
• Forms Authentication with Active Directory (ASP.NET 4.0)
• Membership (ASP.NET 4.0)

Links de Interés:

• Introducción a la seguridad de ASP.NET
• Crear aplicaciones ASP.NET seguras, Guía básica
• Introduction to Membership
• Building Secure Microsoft ASP.NET Applications
• Windows Identity Foundation