Gestion de l authentification et des autorisations
Documents Gratuits : Gestion de l authentification et des autorisations. Rechercher de 53 000+ Dissertation Gratuites et Mémoires.............................................................................................................. 14 3.1 3.2 Autoriser / refuser l’accès suivant l’utilisateur ou le groupe ................................................ 14 Appliquer des autorisations à un fichier ou dossier spécifique ............................................ 15
4
Application pratique ...................................................................................................................... 16 4.1 Présentation de l’exercice ..................................................................................................... 16 Présentation de l’application ........................................................................................ 16 Politique de sécurité ...................................................................................................... 16
4.1.1 4.1.2 4.2 4.3 4.4
Présentation des différentes étapes à réaliser ..................................................................... 17 Préparation d’une base de données ..................................................................................... 17 Définition des providers ........................................................................................................ 23
4.5 Création des rôles et utilisateurs, et définition de leurs droits d’accès sur les ressources de l’application ....................................................................................................................................... 24 4.6 4.7 5 Dotnet France Association Création de l’application ....................................................................................................... 34 Utilisation de l’application .................................................................................................... 35 .
Conclusion ..................................................................................................................................... 37
3
Gestion de l’authentification et des autorisations (v. 1.1) [05/01/09]
1 Introduction
Il est important pour un site internet de gérer l’identification de ses utilisateurs ainsi que les autorisations. Nous allons voir dans ce chapitre, les différentes méthodes d’authentification ainsi que la gestion des autorisations suivant un utilisateur ou un rôle précis. Authentifier des utilisateurs permet d’autoriser l’accès à aux ressources de votre application, qu’à certaines personnes ou proposer des services/fonctionnalités supplémentaires à des personnes privilégiées (comptes payants, comptes d’administrateurs ou modérateurs entres autres). Cela sert aussi à enregistrer ses informations personnelles et à suivre les actions d’un utilisateur, par exemple sur un site d’achat pour remplir un panier. Nous parlions d’administrateurs et de modérateurs. Ce sont aussi des exemples de gestions d’autorisations puisque seuls eux doivent être autorisés à changer certaines données du site. Pour nous faciliter la tâche, ASP.NET implémente déjà ces gestions, il ne nous reste quasiment plus qu’à les paramétrer, comme nous allons l’étudier dans la suite de ce chapitre.
Dotnet France Association
4
Gestion de l’authentification et des autorisations (v. 1.1) [05/01/09]
2 Authentification
2.1 Contrôles implémentés dans ASP.NET
ASP.NET implémente déjà des propriétés et méthodes, qui vont nous simplifier la tâche et sont fournies avec certains paramètres de sécurité, qu’il ne nous serait pas forcément évident de reproduire. 2.1.1 Partie Login de la Boîte à Outils Nous allons voir une description des différents contrôles de login qui se trouvent dans la boîte à outils et qu’ASP.NET implémente par défaut : Contrôle Login LoginView Description Permet d’ajouter un formulaire de connexion à la page. Il demande le Login et le mot de passe. Nous permet, grâce à un template que nous faisons nous même, d’afficher des informations suivant le statut (connecté ou anonyme) de la personne. Suivant le statut de la personne, ce contrôle affichera Connexion ou Déconnexion. Si l’utilisateur est connecté, ce contrôle affichera son login. Par défaut, en local sur notre machine, nous sommes logués avec notre compte Windows. Affiche une interface permettant la récupération de mot de passe. Affiche un formulaire qui permet la création d’un nouvel utilisateur. Ce contrôle va afficher un formulaire permettant le changement du mot de passe de l’utilisateur.
LoginStatus LoginName
PasswordRecovery CreateUserWizard ChangePassword
Comme vous pouvez le constater, grâce aux contrôles d’ASP.NET, on peut créer l’interface graphique sans même saisir une ligne de code. Vous pouvez utiliser un contrôle ValidationSummary pour afficher les informations de validations retournées par certains de ces contrôles (contenant des contrôles de validation), cela améliorera l’accessibilité de votre site. La classe Membership Cette classe permet de gérer les utilisateurs. Elle vous permet entre autres d’ajouter, supprimer, sélectionner et modifier des utilisateurs. Cette classe se trouve dans System.Web.Security.Membership. Voici les méthodes qu’elle contient : Méthode CreateUser DeleteUser Définition Vous permet d’ajouter un utilisateur à la base de données. Vous permet de supprimer un utilisateur de la Dotnet France Association 2.1.2
5
Gestion de l’authentification et des autorisations (v. 1.1) [05/01/09] base de données. FindUsersByEmail FindUsersByName GeneratePassword GetAllUsers GetNumberOfUsersOnline GetUser GetUserNameByEmail UpdateUser ValidateUser La classe Roles Les rôles permettent de gérer les autorisations comme l’accès à certaines parties du site. Cette classe se trouve dans System.Web.Security.Roles. Voyons les méthodes statiques associées à cette classe : Méthode AddUserToRole Description Ajoute un utilisateur à un rôle. Il possède plusieurs variantes comme AddUsersToRole qui ajoute des utilisateurs à un rôle. Pour plus d’informations allez sur msdn : http://msdn.microsoft.com/fr‐ fr/library/system.web.security.roles_methods(VS.80).aspx Créer un rôle. Supprimer un rôle. Renvoie une collection contenant tous les utilisateurs du rôle spécifié. Renvoie une collection contenant tous les rôles existant. Renvoie une collection contenant les rôles auxquels l’utilisateur appartient. Renvoie un booléen indiquant si l’utilisateur courant est dans le rôle spécifié. Enlève l’utilisateur du rôle spécifié. Il y a pour lui aussi des variantes possibles comme RemoveUsersFromRoles qui enlève tous les utilisateurs définis du rôle spécifié. Pour plus d’informations voir msdn : http://msdn.microsoft.com/fr‐ Dotnet France Association 2.1.3 Récupère sous forme de collection tous les utilisateurs contenant l’adresse passée. Récupère sous forme de collection tous les utilisateurs contenant le nom passé. Génère un mot de passe de la taille spécifiée. Récupère tous les utilisateurs sous forme de collection. Récupère le nombre de personnes connectées. Récupère l’utilisateur courant. Retourne un objet MembershipUser. Récupère l’utilisateur qui correspond à l’email passé. Met à jour l’utilisateur (inscrit les informations dans la base de données). Vérifie la validité du login et du mot de passe.
CreateRole DeleteRole FindUsersInRole GetAllRoles GetRolesForUser IsUserInRole RemoveUserFromRole
6
Gestion de l’authentification et des autorisations (v. 1.1) [05/01/09] fr/library/system.web.security.roles_methods(VS.80).aspx Outil d’administration Web Avant de faire cette manipulation, il faut que vous prépariez votre site Web. Pour cela créez des sous dossiers sur lesquels seront appliquées les permissions. Pour paramétrer les options d’authentification il existe un outil d’administration permettant, via une interface graphique, de gérer l’authentification sans toucher à aucun fichier. Pour y accéder aller dans le menu Projet puis choisissez Configuration ASP.NET. 2.1.4
Une fois ceci fait vous verrez s’ouvrir une page Web ressemblant à celle ci‐dessous (vous serez sur l’onglet Accueil). En haut de cette page se trouve des onglets, choisissez l’onglet Sécurité.
Sélectionnez le lien au milieu de la page: Use the security Setup Wizard to configure security step by step. Vous allez arriver sur la page d’accueil de l’assistant
...