Autenticacion basada en Formularios
Alexa
en que en el proceso de logueado se genera un ticket de acceso al site. Este
ticket de acceso se almacenar� en una cookie del navegador, siendo necesaria
su presencia para poder acceder a los directorios que nosotros definamos
como privados"
Hasta he le�do , esto implica agreagar unas l�neas en el web.config de la
aplicacion web (hasta ahora no tengo claro que l�neas :-)) )
En este sentido, se me genera la siguiente duda :
Yo el control de accesos a las opciones de men� de mi TreView lo estoy
manejando directamente a trav�s de los usuarios y roles que creo mediante la
opcion "Configuracion de ASP.Net" . Es decir en funci�n al rol que le asigno
a un usuario, �ste tendra acceso a ciertas carpetas y a otras no.
�Esta forma de control de accesos que vengo realizando es COMPLEMENTARIA con
lo que se denomina "Autenticacion basada en Formularios" , es lo mismo o
son cosas distintas ?
Dicho de otro modo, ser� necesario (por alguna circunstacia especial) que
tenga que modificar mi web.config para controlar los accesos de forma "m�s
segura " o es suficiente solo trabajarlo a nivel de la opcion "Configuracion
de ASP.Net".
Jose A. Fernandez
Veo que estas adentrandote al mundo de la autenticacion y
autorizzacion de usuarios
Cuando hablas (en varios post) "Configuracion de ASP.Net" quieres
decir "Proveedor de Membresia de ASP.NET (Membership Provider)" o
quieres decir que estas utilizando la herramienta de configuracion (el
boton arriba de nuestra aplicacion web que despliega un sitio de
administracion/configuracion ??
Si es lo segundo (estas utilizando el sitio de admin que viene con
VS2005/2008 para aplicaciones web y que sirve para configurar el
proveedor de segurida, crear usuarios/roles etc..
Bueno esta caracteristica hace USO de Proveedor de Membresia de
ASP.NET que viene por defecto y utiliza la DB del SqlExpress.. toda
esta configuracion YA ESTA ARMADA POR DEFAULT tu la puedes modificar
Dale una mirada a este enlace:
- Introducción a la suscripción (Membership)
http://msdn.microsoft.com/es-es/library/yh26yfzy.aspx
Alli te explica mucho mejor que mis 2 oraciones :)
Tambien hay enlaces en ese articulo de MSDN, donde puedes ver
- Configurar una aplicación ASP.NET para utilizar la suscripción
http://msdn.microsoft.com/es-es/library/6e9y4s5t.aspx
Entonces? la autenticacion basada en formulario?
Directamente de MSDN:
(...)La autenticación es un proceso que consiste en obtener las
credenciales de identificación, como nombre y contraseña, de un
usuario y validarlas consultando a una autoridad determinada. (...)
Esto quiere decir que necesitas ALGO (algun objeto) que diga que ese
usuario es valido
- Puede ser
1) El windows (con el IIS) le pregunta al usuairo de windows o
Active Directory
2) Podes preguntarle a servicio de Passport (Live) o sea con tu
misma cuenta de MSN
3) Podes hacer algo para pedir user/pass (formulario) y alli en
base a esos dos datos buscar info si es o no el que dice ser
- Aqui mas info
- Autenticación de ASP.NET
http://msdn.microsoft.com/es-es/library/eeyk640h(VS.80).aspx
o sea.. el proveedor por defecto de ASP.NET, que creo que estas
utilizando esta basado en FORMULARIO porque tendrias que hacer un
pagina de login que solicite el user/pass (hay un webcontrol en
ASP.NET para este proposito) que dicho control sabe hablar con el
Proveedor de membresia.. o sea no hace falta codificar nada, solo
arrastramos el control
PERO hay que indicarle a la APP web cual es el tipo de configuracion
para la autenticacion...
Donde? en el web.config
.. mira mas arriba el enlace que dice: "Configurar una aplicación
ASP.NET para utilizar la suscripción"
Espero que te pueda despejar algo de tu DUDA, o sino sigue
preguntando ...Pero te invito antes a que le des una mirada a los
enlaces...
NOTA: Me voy a cenar, saludos... je!
Enlaces
--------------------------
Seguridad de aplicaciones Web ASP.NET
http://msdn.microsoft.com/es-es/library/330a99hc(VS.80).aspx
Espero que te sirva de ayuda o guia
______________________
Jose A. Fernandez
blog: http://geeks.ms/blogs/fernandezja
On 16 sep, 21:18, " Alexa" <a...@eee.es> wrote:
> La página del Guile indica "la Autenticacion basada en Formularios se basa
> en que en el proceso de logueado se genera un ticket de acceso al site. Este
> ticket de acceso se almacenará en una cookie del navegador, siendo necesaria
> su presencia para poder acceder a los directorios que nosotros definamos
> como privados"
> Hasta he leído , esto implica agreagar unas líneas en el web.config de la
> aplicacion web (hasta ahora no tengo claro que líneas :-)) )
>
> En este sentido, se me genera la siguiente duda :
> Yo el control de accesos a las opciones de menú de mi TreView lo estoy
> manejando directamente a través de los usuarios y roles que creo mediante la
> opcion "Configuracion de ASP.Net" . Es decir en función al rol que le asigno
> a un usuario, éste tendra acceso a ciertas carpetas y a otras no.
>
> ¿Esta forma de control de accesos que vengo realizando es COMPLEMENTARIA con
> lo que se denomina "Autenticacion basada en Formularios" , es lo mismo o
> son cosas distintas ?
>
> Dicho de otro modo, será necesario (por alguna circunstacia especial) que
> tenga que modificar mi web.config para controlar los accesos de forma "más
Alexa
Web Developer 2008 Express (no utilizo VisualStudio)
Esta "opci�n" ya la manejo sin problemas, incluso he ido m�s all� creando
nuevos usuarios y asignandoles roles a trav�s de c�digo vbNet dentro de mi
aplicaci�n Web utilizando la clase Membership y el m�todo CreateUser
(CreateUser(String, String, String, String, String, Boolean,
MembershipCreateStatus%).Para tal efecto modiqu� el web.config a fin de
crear una Instancia Fija y no trabajar con un UserInstance
<connectionStrings>
<add name="NorthwindConnectionString" connectionString="Data
Source=PCA\SQLEXPRESS;Initial Catalog=Northwind;Integrated Security=True"
providerName="System.Data.SqlClient" />
<remove name="LocalSqlServer" />
<add name="LocalSqlServer"
connectionString="server=PCA\SQLEXPRESS;Integrated
Security=SSPI;Database=Northwind;"
providerName="System.Data.SqlClient" />
</connectionStrings>
Esto me ha permitido tener la BD para administradion de roles y usarios "ya
no en un archivo .MDF", ya que he creado con el Wizard que brinda
"aspnet_regsql.exe" toda la estructura de tablas que utiliza "Configuraci�n
de ASP.Net" dentro de la BD Northwind, y todo funciona muy bien.
Mi site ya cuenta con una p�gina de Login.aspx que solicita
user/pass/email/preguntasecreta/respuestasecreta a trav�s del webcontrol
denominado Login.
Sin embargo , por lo que acabo de leer gracias a tu amable respuesta, es que
no he agregado esto a mi web.config:
<system.web>
<authentication mode="Forms" >
<forms loginUrl="login.aspx" name=".ASPXFORMSAUTH" />
</authentication>
<authorization>
<deny users="?" />
</authorization>
<membership defaultProvider="SqlProvider" userIsOnlineTimeWindow="15">
<providers>
<clear />
<add
name="SqlProvider"
type="System.Web.Security.SqlMembershipProvider"
connectionStringName="MySqlConnection"
applicationName="MyApplication"
enablePasswordRetrieval="false"
enablePasswordReset="true"
requiresQuestionAndAnswer="true"
requiresUniqueEmail="true"
passwordFormat="Hashed" />
</providers>
</membership>
</system.web>
Por lo cual , te agradecer� me aclares lo siguiente :
1.- Esto a qu� se refiere name=".ASPXFORMSAUTH" ???????????????
2.- Supongo que <clear /> elimina como proveedor por defecto a SqlProvider
(aunque lineas mas abajo lo vuelve a agregar)
3.- applicationName="MyApplication" --> supongo que ser� el nombre de la
carpeta ra�z que contiene a mi aplicaci�n web
4.- enablePasswordRetrieval="false" --> si esto fuera "true" �c�mo
compruebo en mi apliaci�n web que es posible que los
usuarios recuperen su password ? (es decir � donde y en que momento
aparecer� el link para recuperar el password? )
5.- enablePasswordReset="true" --> �c�mo compruebo en mi aplicaci�n web
que es posible que los usuarios reseteen su clave?
6.- requiresQuestionAndAnswer="true" --> �Esto har� que al crear nuevos
usuarios con CreateUser(String, String, String),
eliminando asi la necesidad de ingresar una pregunta y respuesta
secretas ?
7.- requiresUniqueEmail="true" --> � Esto impedir� que se puedan crear
usuarios con un mismo mail ?
8.- passwordFormat="Hashed" --> �C�mo es el tipo de formato "Hashed" ?
"Jose A. Fernandez" <ferna...@gmail.com> escribi� en el mensaje de
noticias:9c80e3d5-ab70-4665...@d4g2000vbm.googlegroups.com...
> Hola Alexa
>
> Veo que estas adentrandote al mundo de la autenticacion y
> autorizzacion de usuarios
>
> Cuando hablas (en varios post) "Configuracion de ASP.Net" quieres
> decir "Proveedor de Membresia de ASP.NET (Membership Provider)" o
> quieres decir que estas utilizando la herramienta de configuracion (el
> boton arriba de nuestra aplicacion web que despliega un sitio de
> administracion/configuracion ??
>
> Si es lo segundo (estas utilizando el sitio de admin que viene con
> VS2005/2008 para aplicaciones web y que sirve para configurar el
> proveedor de segurida, crear usuarios/roles etc..
> Bueno esta caracteristica hace USO de Proveedor de Membresia de
> ASP.NET que viene por defecto y utiliza la DB del SqlExpress.. toda
> esta configuracion YA ESTA ARMADA POR DEFAULT tu la puedes modificar
> Dale una mirada a este enlace:
> - Introducci�n a la suscripci�n (Membership)
> http://msdn.microsoft.com/es-es/library/yh26yfzy.aspx
> Alli te explica mucho mejor que mis 2 oraciones :)
> Tambien hay enlaces en ese articulo de MSDN, donde puedes ver
> - Configurar una aplicaci�n ASP.NET para utilizar la suscripci�n
> http://msdn.microsoft.com/es-es/library/6e9y4s5t.aspx
>
> Entonces? la autenticacion basada en formulario?
> Directamente de MSDN:
> (...)La autenticaci�n es un proceso que consiste en obtener las
> credenciales de identificaci�n, como nombre y contrase�a, de un
> usuario y validarlas consultando a una autoridad determinada. (...)
> Esto quiere decir que necesitas ALGO (algun objeto) que diga que ese
> usuario es valido
> - Puede ser
> 1) El windows (con el IIS) le pregunta al usuairo de windows o
> Active Directory
> 2) Podes preguntarle a servicio de Passport (Live) o sea con tu
> misma cuenta de MSN
> 3) Podes hacer algo para pedir user/pass (formulario) y alli en
> base a esos dos datos buscar info si es o no el que dice ser
>
> - Aqui mas info
> - Autenticaci�n de ASP.NET
> http://msdn.microsoft.com/es-es/library/eeyk640h(VS.80).aspx
>
> o sea.. el proveedor por defecto de ASP.NET, que creo que estas
> utilizando esta basado en FORMULARIO porque tendrias que hacer un
> pagina de login que solicite el user/pass (hay un webcontrol en
> ASP.NET para este proposito) que dicho control sabe hablar con el
> Proveedor de membresia.. o sea no hace falta codificar nada, solo
> arrastramos el control
>
> PERO hay que indicarle a la APP web cual es el tipo de configuracion
> para la autenticacion...
> Donde? en el web.config
> .. mira mas arriba el enlace que dice: "Configurar una aplicaci�n
> ASP.NET para utilizar la suscripci�n"
>
> Espero que te pueda despejar algo de tu DUDA, o sino sigue
> preguntando ...Pero te invito antes a que le des una mirada a los
> enlaces...
>
> NOTA: Me voy a cenar, saludos... je!
>
>
> Enlaces
> --------------------------
> Seguridad de aplicaciones Web ASP.NET
> http://msdn.microsoft.com/es-es/library/330a99hc(VS.80).aspx
>
>
>
> Espero que te sirva de ayuda o guia
> ______________________
> Jose A. Fernandez
> blog: http://geeks.ms/blogs/fernandezja
>
>
>
>
>
>
>
>
> On 16 sep, 21:18, " Alexa" <a...@eee.es> wrote:
>> La p�gina del Guile indica "la Autenticacion basada en Formularios se
>> basa
>> en que en el proceso de logueado se genera un ticket de acceso al site.
>> Este
>> ticket de acceso se almacenar� en una cookie del navegador, siendo
>> necesaria
>> su presencia para poder acceder a los directorios que nosotros definamos
>> como privados"
>> Hasta he le�do , esto implica agreagar unas l�neas en el web.config de la
>> aplicacion web (hasta ahora no tengo claro que l�neas :-)) )
>>
>> En este sentido, se me genera la siguiente duda :
>> Yo el control de accesos a las opciones de men� de mi TreView lo estoy
>> manejando directamente a trav�s de los usuarios y roles que creo mediante
>> la
>> opcion "Configuracion de ASP.Net" . Es decir en funci�n al rol que le
>> asigno
>> a un usuario, �ste tendra acceso a ciertas carpetas y a otras no.
>>
>> �Esta forma de control de accesos que vengo realizando es COMPLEMENTARIA
>> con
>> lo que se denomina "Autenticacion basada en Formularios" , es lo mismo
>> o
>> son cosas distintas ?
>>
>> Dicho de otro modo, ser� necesario (por alguna circunstacia especial) que
>> tenga que modificar mi web.config para controlar los accesos de forma
>> "m�s
>> segura " o es suficiente solo trabajarlo a nivel de la opcion
>> "Configuracion
>> de ASP.Net".
>
>
> __________ Informaci�n de ESET NOD32 Antivirus, versi�n de la base de
> firmas de virus 3890 (20090226) __________
>
> ESET NOD32 Antivirus ha comprobado este mensaje.
>
> http://www.eset.com
>
>
>
__________ Informaci�n de ESET NOD32 Antivirus, versi�n de la base de firmas de virus 4432 (20090917) __________
ESET NOD32 Antivirus ha comprobado este mensaje.
Jose A. Fernandez
(recien puedo contestar)
Algo que te puede seguir ayudando:
- Authentication in ASP.NET: .NET Security Guidance
http://msdn.microsoft.com/en-us/library/ms978378.aspx
Antes que nada te invito a investigar en la ayuda, mas que nada en
MSDN
Por ejemplo para la propiedad: RequiresUniqueEmail
- http://www.google.com.ar/search?q=requiresUniqueEmail+msdn
Encontramos:
- MembershipProvider.RequiresUniqueEmail (Propiedad)
Obtiene un valor que indica si el proveedor de suscripciones se
configura para requerir una dirección de correo electrónico única para
cada nombre de usuario.
RESPUESTA 1:
En tu primer pregunta que significa: name=".ASPXFORMSAUTH???
- Elemento forms para authentication (Esquema de configuración de
ASP.NET)
Configura una aplicación ASP.NET para una autenticación
personalizada basada en formularios.
http://msdn.microsoft.com/es-es/library/1d3t3c61.aspx
Donde podras ver que es el atributo name??
- name
Atributo opcional. Especifica la cookie HTTP utilizada para la
autenticación. Si se ejecutan varias aplicaciones en un mismo servidor
y cada una requiere una cookie única, se debe configurar el nombre de
la cookie en cada archivo Web.config de cada aplicación. El valor
predeterminado es ".ASPXAUTH".
RESPUESTA 2:
"....Supongo que <clear /> elimina como proveedor por defecto a
SqlProvider (aunque lineas mas abajo lo vuelve a agregar) ..."
Exacto elimina TODO lo qeu viene heredado, porque los archivos de
configuracion se van "uniendo" desde el machine config hasta el de tu
app o el directorio particular
En el caso de Proveedor es un listado con el Clear logramos que los
que viene ya no esten...
Todas las demas respuestas con respecto al elemento membership ..
(applicationName, enablePasswordRetrieval, enablePasswordReset...)
- Elemento membership (Esquema de configuración de ASP.NET)
Configura los parámetros para la administración y autenticación de
cuentas de usuario utilizando la suscripción ASP.NET.
http://msdn.microsoft.com/es-es/library/1b9hw62f.aspx
Enlaces (resumidos)
----------------------------------------
- Authentication in ASP.NET: .NET Security Guidance
http://msdn.microsoft.com/en-us/library/ms978378.aspx
- Elemento forms para authentication (Esquema de configuración de
ASP.NET)
Configura una aplicación ASP.NET para una autenticación
personalizada basada en formularios.
http://msdn.microsoft.com/es-es/library/1d3t3c61.aspx
Espero que te sirva de ayuda o guia
______________________
Jose A. Fernandez
blog: http://geeks.ms/blogs/fernandezja
On 17 sep, 02:55, " Alexa" <a...@eee.es> wrote:
> José, utilizo la opción "Sitio Web" --> "Configuración de ASP.Net" de Visual
> Web Developer 2008 Express (no utilizo VisualStudio)
> Esta "opción" ya la manejo sin problemas, incluso he ido más allá creando
> nuevos usuarios y asignandoles roles a través de código vbNet dentro de mi
> aplicación Web utilizando la clase Membership y el método CreateUser
> (CreateUser(String, String, String, String, String, Boolean,
> MembershipCreateStatus%).Para tal efecto modiqué el web.config a fin de
> crear una Instancia Fija y no trabajar con un UserInstance
> <connectionStrings>
> <add name="NorthwindConnectionString" connectionString="Data
> Source=PCA\SQLEXPRESS;Initial Catalog=Northwind;Integrated Security=True"
> providerName="System.Data.SqlClient" />
> <remove name="LocalSqlServer" />
> <add name="LocalSqlServer"
> connectionString="server=PCA\SQLEXPRESS;Integrated
> Security=SSPI;Database=Northwind;"
> providerName="System.Data.SqlClient" />
> </connectionStrings>
>
> Esto me ha permitido tener la BD para administradion de roles y usarios "ya
> no en un archivo .MDF", ya que he creado con el Wizard que brinda
> "aspnet_regsql.exe" toda la estructura de tablas que utiliza "Configuración
> de ASP.Net" dentro de la BD Northwind, y todo funciona muy bien.
>
> Mi site ya cuenta con una página de Login.aspx que solicita
> user/pass/email/preguntasecreta/respuestasecreta a través del webcontrol
> Por lo cual , te agradeceré me aclares lo siguiente :
>
> 1.- Esto a qué se refiere name=".ASPXFORMSAUTH" ???????????????
> 2.- Supongo que <clear /> elimina como proveedor por defecto a SqlProvider
> (aunque lineas mas abajo lo vuelve a agregar)
> 3.- applicationName="MyApplication" --> supongo que será el nombre de la
> carpeta raíz que contiene a mi aplicación web
> 4.- enablePasswordRetrieval="false" --> si esto fuera "true" ¿cómo
> compruebo en mi apliación web que es posible que los
> usuarios recuperen su password ? (es decir ¿ donde y en que momento
> aparecerá el link para recuperar el password? )
> 5.- enablePasswordReset="true" --> ¿cómo compruebo en mi aplicación web
> que es posible que los usuarios reseteen su clave?
> 6.- requiresQuestionAndAnswer="true" --> ¿Esto hará que al crear nuevos
> usuarios con CreateUser(String, String, String),
> eliminando asi la necesidad de ingresar una pregunta y respuesta
> secretas ?
> 7.- requiresUniqueEmail="true" --> ¿ Esto impedirá que se puedan crear
> usuarios con un mismo mail ?
> 8.- passwordFormat="Hashed" --> ¿Cómo es el tipo de formato "Hashed" ?
>
> "Jose A. Fernandez" <fernande...@gmail.com> escribió en el mensaje de
> noticias:9c80e3d5-ab70-4665-b048-aef17b764...@d4g2000vbm.googlegroups.com...
>
>
>
>
>
> > Hola Alexa
>
> > Veo que estas adentrandote al mundo de la autenticacion y
> > autorizzacion de usuarios
>
> > Cuando hablas (en varios post) "Configuracion de ASP.Net" quieres
> > decir "Proveedor de Membresia de ASP.NET (Membership Provider)" o
> > quieres decir que estas utilizando la herramienta de configuracion (el
> > boton arriba de nuestra aplicacion web que despliega un sitio de
> > administracion/configuracion ??
>
> > Si es lo segundo (estas utilizando el sitio de admin que viene con
> > VS2005/2008 para aplicaciones web y que sirve para configurar el
> > proveedor de segurida, crear usuarios/roles etc..
> > Bueno esta caracteristica hace USO de Proveedor de Membresia de
> > ASP.NET que viene por defecto y utiliza la DB del SqlExpress.. toda
> > esta configuracion YA ESTA ARMADA POR DEFAULT tu la puedes modificar
> > Dale una mirada a este enlace:
> > - Introducción a la suscripción (Membership)
> > http://msdn.microsoft.com/es-es/library/yh26yfzy.aspx
> > Alli te explica mucho mejor que mis 2 oraciones :)
> > Tambien hay enlaces en ese articulo de MSDN, donde puedes ver
> > - Configurar una aplicación ASP.NET para utilizar la suscripción
> > http://msdn.microsoft.com/es-es/library/6e9y4s5t.aspx
>
> > Entonces? la autenticacion basada en formulario?
> > Directamente de MSDN:
> > (...)La autenticación es un proceso que consiste en obtener las
> > credenciales de identificación, como nombre y contraseña, de un
> > usuario y validarlas consultando a una autoridad determinada. (...)
> > Esto quiere decir que necesitas ALGO (algun objeto) que diga que ese
> > usuario es valido
> > - Puede ser
> > 1) El windows (con el IIS) le pregunta al usuairo de windows o
> > Active Directory
> > 2) Podes preguntarle a servicio de Passport (Live) o sea con tu
> > misma cuenta de MSN
> > 3) Podes hacer algo para pedir user/pass (formulario) y alli en
> > base a esos dos datos buscar info si es o no el que dice ser
>
> > - Aqui mas info
> > - Autenticación de ASP.NET
> > http://msdn.microsoft.com/es-es/library/eeyk640h(VS.80).aspx
>
> > o sea.. el proveedor por defecto de ASP.NET, que creo que estas
> > utilizando esta basado en FORMULARIO porque tendrias que hacer un
> > pagina de login que solicite el user/pass (hay un webcontrol en
> > ASP.NET para este proposito) que dicho control sabe hablar con el
> > Proveedor de membresia.. o sea no hace falta codificar nada, solo
> > arrastramos el control
>
> > PERO hay que indicarle a la APP web cual es el tipo de configuracion
> > para la autenticacion...
> > Donde? en el web.config
> > .. mira mas arriba el enlace que dice: "Configurar una aplicación
> > ASP.NET para utilizar la suscripción"
>
> > Espero que te pueda despejar algo de tu DUDA, o sino sigue
> > preguntando ...Pero te invito antes a que le des una mirada a los
> > enlaces...
>
> > NOTA: Me voy a cenar, saludos... je!
>
> > Enlaces
> > --------------------------
> > Seguridad de aplicaciones Web ASP.NET
> >http://msdn.microsoft.com/es-es/library/330a99hc(VS.80).aspx
>
> > Espero que te sirva de ayuda o guia
> > ______________________
> > Jose A. Fernandez
> > blog:http://geeks.ms/blogs/fernandezja
>
> > On 16 sep, 21:18, " Alexa" <a...@eee.es> wrote:
> >> La página del Guile indica "la Autenticacion basada en Formularios se
> >> basa
> >> en que en el proceso de logueado se genera un ticket de acceso al site.
> >> Este
> >> ticket de acceso se almacenará en una cookie del navegador, siendo
> >> necesaria
> >> su presencia para poder acceder a los directorios que nosotros definamos
> >> como privados"
> >> Hasta he leído , esto implica agreagar unas líneas en el web.config de la
> >> aplicacion web (hasta ahora no tengo claro que líneas :-)) )
>
> >> En este sentido, se me genera la siguiente duda :
> >> Yo el control de accesos a las opciones de menú de mi TreView lo estoy
> >> manejando directamente a través de los usuarios y roles que creo mediante
> >> la
> >> opcion "Configuracion de ASP.Net" . Es decir en función al rol que le
> >> asigno
> >> a un usuario, éste tendra acceso a ciertas carpetas y a otras no.
>
> >> ¿Esta forma de control de accesos que vengo realizando es COMPLEMENTARIA
> >> con
> >> lo que se denomina "Autenticacion basada en Formularios" , es lo mismo
> >> o
> >> son cosas distintas ?
>
> >> Dicho de otro modo, será necesario (por alguna circunstacia especial) que
> >> tenga que modificar mi web.config para controlar los accesos de forma
> >> "más
> >> segura " o es suficiente solo trabajarlo a nivel de la opcion
> >> "Configuracion
> >> de ASP.Net".
>
> > __________ Información de ESET NOD32 Antivirus, versión de la base de
> > firmas de virus 3890 (20090226) __________
>
> > ESET NOD32 Antivirus ha comprobado este mensaje.
>
> >http://www.eset.com
>
> __________ Información de ESET NOD32 Antivirus, versión de la base de firmas de virus 4432 (20090917) __________
Alexa
<membership ...>.
Gracias Jos�
"Jose A. Fernandez" <ferna...@gmail.com> escribi� en el mensaje de
noticias:6e46d6b3-e5c3-4be9...@d34g2000vbm.googlegroups.com...
> Hola Alexa
>
> (recien puedo contestar)
>
> Algo que te puede seguir ayudando:
> - Authentication in ASP.NET: .NET Security Guidance
> http://msdn.microsoft.com/en-us/library/ms978378.aspx
>
>
> Antes que nada te invito a investigar en la ayuda, mas que nada en
> MSDN
> Por ejemplo para la propiedad: RequiresUniqueEmail
> - http://www.google.com.ar/search?q=requiresUniqueEmail+msdn
>
> Encontramos:
> - MembershipProvider.RequiresUniqueEmail (Propiedad)
> Obtiene un valor que indica si el proveedor de suscripciones se
> configura para requerir una direcci�n de correo electr�nico �nica para
> cada nombre de usuario.
>
>
> RESPUESTA 1:
> En tu primer pregunta que significa: name=".ASPXFORMSAUTH???
>
> - Elemento forms para authentication (Esquema de configuraci�n de
> ASP.NET)
> Configura una aplicaci�n ASP.NET para una autenticaci�n
> personalizada basada en formularios.
> http://msdn.microsoft.com/es-es/library/1d3t3c61.aspx
>
> Donde podras ver que es el atributo name??
> - name
> Atributo opcional. Especifica la cookie HTTP utilizada para la
> autenticaci�n. Si se ejecutan varias aplicaciones en un mismo servidor
> y cada una requiere una cookie �nica, se debe configurar el nombre de
> la cookie en cada archivo Web.config de cada aplicaci�n. El valor
> predeterminado es ".ASPXAUTH".
>
> RESPUESTA 2:
> "....Supongo que <clear /> elimina como proveedor por defecto a
> SqlProvider (aunque lineas mas abajo lo vuelve a agregar) ..."
> Exacto elimina TODO lo qeu viene heredado, porque los archivos de
> configuracion se van "uniendo" desde el machine config hasta el de tu
> app o el directorio particular
> En el caso de Proveedor es un listado con el Clear logramos que los
> que viene ya no esten...
>
> Todas las demas respuestas con respecto al elemento membership ..
> (applicationName, enablePasswordRetrieval, enablePasswordReset...)
> - Elemento membership (Esquema de configuraci�n de ASP.NET)
> Configura los par�metros para la administraci�n y autenticaci�n de
> cuentas de usuario utilizando la suscripci�n ASP.NET.
> http://msdn.microsoft.com/es-es/library/1b9hw62f.aspx
>
>
>
>
>
> Enlaces (resumidos)
> ----------------------------------------
> - Authentication in ASP.NET: .NET Security Guidance
> http://msdn.microsoft.com/en-us/library/ms978378.aspx
>
> - Elemento forms para authentication (Esquema de configuraci�n de
> ASP.NET)
> Configura una aplicaci�n ASP.NET para una autenticaci�n
> personalizada basada en formularios.
> http://msdn.microsoft.com/es-es/library/1d3t3c61.aspx
>
>
> Espero que te sirva de ayuda o guia
> ______________________
> Jose A. Fernandez
> blog: http://geeks.ms/blogs/fernandezja
>
>
>
>
>
>
>
>
> On 17 sep, 02:55, " Alexa" <a...@eee.es> wrote:
>> Jos�, utilizo la opci�n "Sitio Web" --> "Configuraci�n de ASP.Net" de
>> Visual
>> Web Developer 2008 Express (no utilizo VisualStudio)
>> Esta "opci�n" ya la manejo sin problemas, incluso he ido m�s all� creando
>> nuevos usuarios y asignandoles roles a trav�s de c�digo vbNet dentro de
>> mi
>> aplicaci�n Web utilizando la clase Membership y el m�todo CreateUser
>> (CreateUser(String, String, String, String, String, Boolean,
>> MembershipCreateStatus%).Para tal efecto modiqu� el web.config a fin de
>> crear una Instancia Fija y no trabajar con un UserInstance
>> <connectionStrings>
>> <add name="NorthwindConnectionString" connectionString="Data
>> Source=PCA\SQLEXPRESS;Initial Catalog=Northwind;Integrated Security=True"
>> providerName="System.Data.SqlClient" />
>> <remove name="LocalSqlServer" />
>> <add name="LocalSqlServer"
>> connectionString="server=PCA\SQLEXPRESS;Integrated
>> Security=SSPI;Database=Northwind;"
>> providerName="System.Data.SqlClient" />
>> </connectionStrings>
>>
>> Esto me ha permitido tener la BD para administradion de roles y usarios
>> "ya
>> no en un archivo .MDF", ya que he creado con el Wizard que brinda
>> "aspnet_regsql.exe" toda la estructura de tablas que utiliza
>> "Configuraci�n
>> de ASP.Net" dentro de la BD Northwind, y todo funciona muy bien.
>>
>> Mi site ya cuenta con una p�gina de Login.aspx que solicita
>> user/pass/email/preguntasecreta/respuestasecreta a trav�s del
>> Por lo cual , te agradecer� me aclares lo siguiente :
>>
>> 1.- Esto a qu� se refiere name=".ASPXFORMSAUTH" ???????????????
>> 2.- Supongo que <clear /> elimina como proveedor por defecto a
>> SqlProvider
>> (aunque lineas mas abajo lo vuelve a agregar)
>> 3.- applicationName="MyApplication" --> supongo que ser� el nombre de la
>> carpeta ra�z que contiene a mi aplicaci�n web
>> 4.- enablePasswordRetrieval="false" --> si esto fuera "true" �c�mo
>> compruebo en mi apliaci�n web que es posible que los
>> usuarios recuperen su password ? (es decir � donde y en que momento
>> aparecer� el link para recuperar el password? )
>> 5.- enablePasswordReset="true" --> �c�mo compruebo en mi aplicaci�n web
>> que es posible que los usuarios reseteen su clave?
>> 6.- requiresQuestionAndAnswer="true" --> �Esto har� que al crear nuevos
>> usuarios con CreateUser(String, String, String),
>> eliminando asi la necesidad de ingresar una pregunta y respuesta
>> secretas ?
>> 7.- requiresUniqueEmail="true" --> � Esto impedir� que se puedan crear
>> usuarios con un mismo mail ?
>> 8.- passwordFormat="Hashed" --> �C�mo es el tipo de formato "Hashed" ?
>>
>> "Jose A. Fernandez" <fernande...@gmail.com> escribi� en el mensaje de
>> noticias:9c80e3d5-ab70-4665-b048-aef17b764...@d4g2000vbm.googlegroups.com...
>>
>>
>>
>>
>>
>> > Hola Alexa
>>
>> > Veo que estas adentrandote al mundo de la autenticacion y
>> > autorizzacion de usuarios
>>
>> > Cuando hablas (en varios post) "Configuracion de ASP.Net" quieres
>> > decir "Proveedor de Membresia de ASP.NET (Membership Provider)" o
>> > quieres decir que estas utilizando la herramienta de configuracion (el
>> > boton arriba de nuestra aplicacion web que despliega un sitio de
>> > administracion/configuracion ??
>>
>> > Si es lo segundo (estas utilizando el sitio de admin que viene con
>> > VS2005/2008 para aplicaciones web y que sirve para configurar el
>> > proveedor de segurida, crear usuarios/roles etc..
>> > Bueno esta caracteristica hace USO de Proveedor de Membresia de
>> > ASP.NET que viene por defecto y utiliza la DB del SqlExpress.. toda
>> > esta configuracion YA ESTA ARMADA POR DEFAULT tu la puedes modificar
>> > Dale una mirada a este enlace:
>> > - Introducci�n a la suscripci�n (Membership)
>> > http://msdn.microsoft.com/es-es/library/yh26yfzy.aspx
>> > Alli te explica mucho mejor que mis 2 oraciones :)
>> > Tambien hay enlaces en ese articulo de MSDN, donde puedes ver
>> > - Configurar una aplicaci�n ASP.NET para utilizar la suscripci�n
>> > http://msdn.microsoft.com/es-es/library/6e9y4s5t.aspx
>>
>> > Entonces? la autenticacion basada en formulario?
>> > Directamente de MSDN:
>> > (...)La autenticaci�n es un proceso que consiste en obtener las
>> > credenciales de identificaci�n, como nombre y contrase�a, de un
>> > usuario y validarlas consultando a una autoridad determinada. (...)
>> > Esto quiere decir que necesitas ALGO (algun objeto) que diga que ese
>> > usuario es valido
>> > - Puede ser
>> > 1) El windows (con el IIS) le pregunta al usuairo de windows o
>> > Active Directory
>> > 2) Podes preguntarle a servicio de Passport (Live) o sea con tu
>> > misma cuenta de MSN
>> > 3) Podes hacer algo para pedir user/pass (formulario) y alli en
>> > base a esos dos datos buscar info si es o no el que dice ser
>>
>> > - Aqui mas info
>> > - Autenticaci�n de ASP.NET
>> > http://msdn.microsoft.com/es-es/library/eeyk640h(VS.80).aspx
>>
>> > o sea.. el proveedor por defecto de ASP.NET, que creo que estas
>> > utilizando esta basado en FORMULARIO porque tendrias que hacer un
>> > pagina de login que solicite el user/pass (hay un webcontrol en
>> > ASP.NET para este proposito) que dicho control sabe hablar con el
>> > Proveedor de membresia.. o sea no hace falta codificar nada, solo
>> > arrastramos el control
>>
>> > PERO hay que indicarle a la APP web cual es el tipo de configuracion
>> > para la autenticacion...
>> > Donde? en el web.config
>> > .. mira mas arriba el enlace que dice: "Configurar una aplicaci�n
>> > ASP.NET para utilizar la suscripci�n"
>>
>> > Espero que te pueda despejar algo de tu DUDA, o sino sigue
>> > preguntando ...Pero te invito antes a que le des una mirada a los
>> > enlaces...
>>
>> > NOTA: Me voy a cenar, saludos... je!
>>
>> > Enlaces
>> > --------------------------
>> > Seguridad de aplicaciones Web ASP.NET
>> >http://msdn.microsoft.com/es-es/library/330a99hc(VS.80).aspx
>>
>> > Espero que te sirva de ayuda o guia
>> > ______________________
>> > Jose A. Fernandez
>> > blog:http://geeks.ms/blogs/fernandezja
>>
>> > On 16 sep, 21:18, " Alexa" <a...@eee.es> wrote:
>> >> La p�gina del Guile indica "la Autenticacion basada en Formularios se
>> >> basa
>> >> en que en el proceso de logueado se genera un ticket de acceso al
>> >> site.
>> >> Este
>> >> ticket de acceso se almacenar� en una cookie del navegador, siendo
>> >> necesaria
>> >> su presencia para poder acceder a los directorios que nosotros
>> >> definamos
>> >> como privados"
>> >> Hasta he le�do , esto implica agreagar unas l�neas en el web.config de
>> >> la
>> >> aplicacion web (hasta ahora no tengo claro que l�neas :-)) )
>>
>> >> En este sentido, se me genera la siguiente duda :
>> >> Yo el control de accesos a las opciones de men� de mi TreView lo estoy
>> >> manejando directamente a trav�s de los usuarios y roles que creo
>> >> mediante
>> >> la
>> >> opcion "Configuracion de ASP.Net" . Es decir en funci�n al rol que le
>> >> asigno
>> >> a un usuario, �ste tendra acceso a ciertas carpetas y a otras no.
>>
>> >> �Esta forma de control de accesos que vengo realizando es
>> >> COMPLEMENTARIA
>> >> con
>> >> lo que se denomina "Autenticacion basada en Formularios" , es lo
>> >> mismo
>> >> o
>> >> son cosas distintas ?
>>
>> >> Dicho de otro modo, ser� necesario (por alguna circunstacia especial)
>> >> que
>> >> tenga que modificar mi web.config para controlar los accesos de forma
>> >> "m�s
>> >> segura " o es suficiente solo trabajarlo a nivel de la opcion
>> >> "Configuracion
>> >> de ASP.Net".
>>
>> > __________ Informaci�n de ESET NOD32 Antivirus, versi�n de la base de
>> > firmas de virus 3890 (20090226) __________
>>
>> > ESET NOD32 Antivirus ha comprobado este mensaje.
>>
>> >http://www.eset.com
>>
>> __________ Informaci�n de ESET NOD32 Antivirus, versi�n de la base de
>> firmas de virus 4432 (20090917) __________
>>
>> ESET NOD32 Antivirus ha comprobado este mensaje.
>>
>> http://www.eset.com
>
>
> __________ Informaci�n de ESET NOD32 Antivirus, versi�n de la base de
> firmas de virus 4441 (20090919) __________
>
> ESET NOD32 Antivirus ha comprobado este mensaje.
>
> http://www.eset.com
>
>
>
__________ Informaci�n de ESET NOD32 Antivirus, versi�n de la base de firmas de virus 4441 (20090919) __________