Hola, la presente de este artículos es para resaltar de forma rápida y sencilla uno de los temas de seguridad en ASP.NET.
Dentro de la seguridad de ASP.NET se menciona el siguiente esquema fundamental:
- Autenticación
- Autorización
Autenticación: Es el mecanismo para validar las credenciales de usuario (Nombre y Clave) contra el acceso de un sitio web.
Descripción de la Autenticación:
Este mecanismo generalmente representa una interfaz de solicitud y validación de credenciales de usuarios, para aquellos usuarios que intenta ingresar a un sitio Web protegido.
Tipos de Autenticación:
Tipos |
Descripción |
Windows |
Valida credenciales de usuarios contra las cuentas de usuarios de Microsoft Windows |
Formulario |
Valida credenciales de usuario contra cualquier repositorio de datos estándar. |
Directorio Activo |
Valida credenciales de usuario contra el Directorio activo de la red empresarial |
Membership |
Valida credenciales de usuario contra origen de datos especifico, por excelencia Microsoft SQL Server |
Windows Identity Foundation |
Valida credenciales de usuarios contra un servicio estandarizado de forma global en la Red. |
Parámetros Básico de la Autenticación en ASP.NET (Web.config):
<system.web>
<authentication mode="Forms">
<forms loginUrl="login.aspx"></forms>
</authentication>
<authorization>
<deny users="?">
</authorization>
</system.web>
Ahora que conoce el mecanismo de Autenticación, se continua en el siguiente paso: El acceso autorizado a recursos con la Autorización en ASP.NET
Autorización: Es el mecanismo que establece permisos de acceso a recursos dentro del sitio Web para usuarios ya autenticados.
Descripción de la Autorización:
Este mecanismo toma como patrón base el sistema tradicional de Roles y Reglas de Acceso, donde cada Rol contiene un conjunto de reglas de acceso para usar dentro del sitio Web. Por ejemplo:
Roles |
Reglas de Acceso |
Administrador |
Obtiene acceso a todos los recursos del sitio Web |
Usuario |
Obtiene acceso a cierto recursos del sitio Web |
Invitado |
Obtiene acceso a recursos básico del sitio Web |
Parámetros Básicos de la Autorización en ASP.NET (Web.Config):
<system.web>
<authorization>
<allow roles="Finanzas, Administradores" />
<allow users="Mario, Pedro" />
<deny users=" * "/>
</authorization>
</system.web>
Puntos claves para optimizar la Autenticación y Autorización de ASP.NET:
- Validar la unicidad de las credenciales de usuarios contra el acceso de determinado sitio Web.
- Evitar el uso de Query String para manipular información sensible de determinado usuario.
- Proteger la entrada de datos contra XSS (Cross-Site-scripting).
- Usar comandos parametrizado contra origen de datos.
- Evitar el uso de Query dinámico a nivel de procedimientos almacenado.
- Usar certificado digital SSL en ciertos módulos Web de extremada privacidad.
Código Fuente de Interés:
- Authentication and Authorization (ASP.NET 4.0)
- Forms Authentication with Active Directory (ASP.NET 4.0)
- Membership (ASP.NET 4.0)
Links de Interés: