Restringir acceso a páginas en funcion de roles
Alexa
de tal manera que solo los usuarios (membership) con rol "administrador"
puedan accesar a su contenido, caso contrario son redireccionados a otra
p�gina.
�C�mo debo hacer dicha validaci�n y es el evento Load el m�s apropiado
para realizarla ?
Aguardientico
Yo haria el control de acceso utilizando la seccion Authorization del
web.config esta me sirve para toda la carpeta o para paginas en particular
(lo cual creo que es tu caso) un ejemplo ser�a as�:
<location path="mi_pagina_solo_valida_para_administradores.aspx">
<system.web>
<authorization>
<allow roles="administrator"/>
<deny users="*"/>
</authorization>
</system.web>
</location>
Pero si de todas maneras quieres hacerlo via programaci�n pienso que el
mejor lugar para hacerlo es en el evento PreInit
Atte
Gustavo Gonzalez
" Alexa" <a...@alexa.com> wrote in message
news:223F2EE0-15DC-45FD...@microsoft.com...
> __________ Information from ESET NOD32 Antivirus, version of virus
> signature database 4501 (20091012) __________
>
> The message was checked by ESET NOD32 Antivirus.
>
> http://www.eset.com
>
>
>
__________ Information from ESET NOD32 Antivirus, version of virus signature database 4501 (20091012) __________
The message was checked by ESET NOD32 Antivirus.
Alexa
que eso solo OCULTA las opciones de Men�, pero no impide el acceso a ellas;
pues si alguien sabe la URL completa de una zona restringida f�cilmente
puede accesar a ella. No s� si me dej� entender.
"Aguardientico" <gusgon1 at nospam dot com> escribi� en el mensaje de
noticias:u3ghX06S...@TK2MSFTNGP05.phx.gbl...
Jose A. Fernandez
Asi como te comenta Aguardientico es la forma de implementar en el
web.config (o como sabrás también en cada carpeta que necesitas puedes
tener un web.config con la autorización)
Es mejor que colocar en codigo, para mantener esta seguridad lo mas
facilmente modificable... tambien lo puedes hacer en el load de la
pagina, pero con LOCATION es lo mismo
Te tiene que funcionar, ya que la parte del MENU solo es posible
cuando configuras los ROLES dentro del sitemap, aqui estamos
autorizando paginas o directorios desde el tag LOCATION
...ya hablamos de este tema por aqu (contigo)... mira el post:
- Varios path en un location Opciones
http://groups.google.com.ar/group/microsoft.public.es.dotnet.aspnet/browse_thread/thread/90041addfe72a361
Si no te funciona dime como tienes implementando la autenticacion de
tu web.config?
Espero que te sirva de ayuda o guia.
______________________
Jose A. Fernandez
blog: http://geeks.ms/blogs/fernandezja
On 13 oct, 11:28, " Alexa" <a...@alexa.com> wrote:
> Asi como me indicas lo tengo configurado en el web.config, lo que sucede es
> que eso solo OCULTA las opciones de Menú, pero no impide el acceso a ellas;
> pues si alguien sabe la URL completa de una zona restringida fácilmente
> puede accesar a ella. No sé si me dejé entender.
>
> "Aguardientico" <gusgon1 at nospam dot com> escribió en el mensaje de
> noticias:u3ghX06SKHA.4...@TK2MSFTNGP05.phx.gbl...
>
>
>
> > Hola Alexa:
>
> > Yo haria el control de acceso utilizando la seccion Authorization del
> > web.config esta me sirve para toda la carpeta o para paginas en particular
> > (lo cual creo que es tu caso) un ejemplo sería así:
>
> > <location path="mi_pagina_solo_valida_para_administradores.aspx">
> > <system.web>
>
> > <authorization>
> > <allow roles="administrator"/>
> > <deny users="*"/>
> > </authorization>
> > </system.web>
> > </location>
>
> > Pero si de todas maneras quieres hacerlo via programación pienso que el
> > mejor lugar para hacerlo es en el evento PreInit
>
> > Atte
> > Gustavo Gonzalez
>
> > " Alexa" <a...@alexa.com> wrote in message
> >news:223F2EE0-15DC-45FD...@microsoft.com...
> >> Deseo hacer validaciones en el evento Load de ciertas páginas de mi
> >> website, de tal manera que solo los usuarios (membership) con rol
> >> "administrador" puedan accesar a su contenido, caso contrario son
> >> redireccionados a otra página.
> >> ¿Cómo debo hacer dicha validación y es el evento Load el más apropiado
Alexa
web.config , te pongo una muestra (tengo muchos location de esta forma) :
<location path="OfertasEspeciales.aspx">
<system.web>
<authorization>
<allow roles="administrador"/>
<allow roles="cliente"/>
<deny users="*" />
</authorization>
</system.web>
</location>
De esta manera, los usuarios pueden visualizar o no las opciones de men� en
funci�n de su ROL ( o de que esten logueados o no ). Pero aqui viene MI
DUDA.
Por ejemplo, si un usuario se loguea con su login y password cuyo rol es
CLIENTE, y accesa as� a la zona permitida solo para clientes, puede ver
en su navegador sin problemas la URL de la zona Ejemplo
http://localhost:4379/FranciasTrade/OfertasEspeciales.aspx , de tal manera
que cualquier
otra persona con solo tener dicha URL podr�a tener acceso DIRECTAMENTE a la
zona que es solo para clientes ,sin antes haber pasado por el Login.
Es por eso que me parece que es mejor hacer doble verificaci�n , una parte
en el web.config y la otra parte en el evento Load de cada p�gina que tiene
restricciones de acceso.
Ahora si espero haberme dejado entender.
"Jose A. Fernandez" <ferna...@gmail.com> escribi� en el mensaje de
noticias:a5d8d8b6-672c-41fe...@k33g2000yqa.googlegroups.com...
> Hola Alexa
>
> Asi como te comenta Aguardientico es la forma de implementar en el
> web.config (o como sabr�s tambi�n en cada carpeta que necesitas puedes
> tener un web.config con la autorizaci�n)
> Es mejor que colocar en codigo, para mantener esta seguridad lo mas
> facilmente modificable... tambien lo puedes hacer en el load de la
> pagina, pero con LOCATION es lo mismo
>
> Te tiene que funcionar, ya que la parte del MENU solo es posible
> cuando configuras los ROLES dentro del sitemap, aqui estamos
> autorizando paginas o directorios desde el tag LOCATION
>
> ...ya hablamos de este tema por aqu (contigo)... mira el post:
> - Varios path en un location Opciones
>
> http://groups.google.com.ar/group/microsoft.public.es.dotnet.aspnet/browse_thread/thread/90041addfe72a361
>
>
> Si no te funciona dime como tienes implementando la autenticacion de
> tu web.config?
>
> Espero que te sirva de ayuda o guia.
> ______________________
> Jose A. Fernandez
> blog: http://geeks.ms/blogs/fernandezja
>
>
>
>
>
>
> On 13 oct, 11:28, " Alexa" <a...@alexa.com> wrote:
>> Asi como me indicas lo tengo configurado en el web.config, lo que sucede
>> es
>> que eso solo OCULTA las opciones de Men�, pero no impide el acceso a
>> ellas;
>> pues si alguien sabe la URL completa de una zona restringida f�cilmente
>> puede accesar a ella. No s� si me dej� entender.
>>
>> "Aguardientico" <gusgon1 at nospam dot com> escribi� en el mensaje de
>> noticias:u3ghX06SKHA.4...@TK2MSFTNGP05.phx.gbl...
>>
>>
>>
>> > Hola Alexa:
>>
>> > Yo haria el control de acceso utilizando la seccion Authorization del
>> > web.config esta me sirve para toda la carpeta o para paginas en
>> > particular
>> > (lo cual creo que es tu caso) un ejemplo ser�a as�:
>>
>> > <location path="mi_pagina_solo_valida_para_administradores.aspx">
>> > <system.web>
>>
>> > <authorization>
>> > <allow roles="administrator"/>
>> > <deny users="*"/>
>> > </authorization>
>> > </system.web>
>> > </location>
>>
>> > Pero si de todas maneras quieres hacerlo via programaci�n pienso que el
>> > mejor lugar para hacerlo es en el evento PreInit
>>
>> > Atte
>> > Gustavo Gonzalez
>>
>> > " Alexa" <a...@alexa.com> wrote in message
>> >news:223F2EE0-15DC-45FD...@microsoft.com...
>> >> Deseo hacer validaciones en el evento Load de ciertas p�ginas de mi
>> >> website, de tal manera que solo los usuarios (membership) con rol
>> >> "administrador" puedan accesar a su contenido, caso contrario son
>> >> redireccionados a otra p�gina.
>> >> �C�mo debo hacer dicha validaci�n y es el evento Load el m�s
Jose A. Fernandez
A ver si entiendo :(
Porque asi como colocas el rol "Cliente" tiene acceso a esa pagina :)
Si tienes esta pagina
http://localhost:4379/FranciasTrade/OfertasEspeciales.aspx
y quieres que el ROL cliente no pueda acceder o solamente los
administradores
<location path="OfertasEspeciales.aspx">
<system.web>
<authorization>
<allow roles="administrador"/>
<DENY roles="cliente"/>
<deny users="*" />
</authorization>
</system.web>
</location>
o simplemente quitar la linea
<allow roles="cliente"/>
entonces quedaria
<allow roles="administrador"/>
<deny users="*" />
Todo esto suponiendo que tu app web esta en un directorio virtual que
se llama "FranciasTrade", porque si realmente existe este directorio
entonces seria
<location path="FranciasTrade/OfertasEspeciales.aspx">
Entendí bien? esta mal tu configuración? o el ejemplo que diste no
concuerda con tu configuracion?
je! muchas preguntas...
______________________
Jose A. Fernandez
blog: http://geeks.ms/blogs/fernandezja
On 13 oct, 17:52, " Alexa" <a...@alexa.com> wrote:
> José, tengo actualmente implementanda todo las restricciones en el
> web.config , te pongo una muestra (tengo muchos location de esta forma) :
>
> <location path="OfertasEspeciales.aspx">
> <system.web>
> <authorization>
> <allow roles="administrador"/>
> <allow roles="cliente"/>
> <deny users="*" />
> </authorization>
> </system.web>
> </location>
>
> De esta manera, los usuarios pueden visualizar o no las opciones de menú en
> función de su ROL ( o de que esten logueados o no ). Pero aqui viene MI
> DUDA.
> Por ejemplo, si un usuario se loguea con su login y password cuyo rol es
> CLIENTE, y accesa así a la zona permitida solo para clientes, puede ver
> en su navegador sin problemas la URL de la zona Ejemplohttp://localhost:4379/FranciasTrade/OfertasEspeciales.aspx, de tal manera
> que cualquier
> otra persona con solo tener dicha URL podría tener acceso DIRECTAMENTE a la
> zona que es solo para clientes ,sin antes haber pasado por el Login.
> Es por eso que me parece que es mejor hacer doble verificación , una parte
> en el web.config y la otra parte en el evento Load de cada página que tiene
> restricciones de acceso.
> Ahora si espero haberme dejado entender.
>
> "Jose A. Fernandez" <fernande...@gmail.com> escribió en el mensaje de
> noticias:a5d8d8b6-672c-41fe-a361-a093aaa20...@k33g2000yqa.googlegroups.com...
>
>
>
> > Hola Alexa
>
> > Asi como te comenta Aguardientico es la forma de implementar en el
> > web.config (o como sabrás también en cada carpeta que necesitas puedes
> > tener un web.config con la autorización)
> > Es mejor que colocar en codigo, para mantener esta seguridad lo mas
> > facilmente modificable... tambien lo puedes hacer en el load de la
> > pagina, pero con LOCATION es lo mismo
>
> > Te tiene que funcionar, ya que la parte del MENU solo es posible
> > cuando configuras los ROLES dentro del sitemap, aqui estamos
> > autorizando paginas o directorios desde el tag LOCATION
>
> > ...ya hablamos de este tema por aqu (contigo)... mira el post:
> > - Varios path en un location Opciones
>
> >http://groups.google.com.ar/group/microsoft.public.es.dotnet.aspnet/b...
>
> > Si no te funciona dime como tienes implementando la autenticacion de
> > tu web.config?
>
> > Espero que te sirva de ayuda o guia.
> > ______________________
> > Jose A. Fernandez
> > blog:http://geeks.ms/blogs/fernandezja
>
> > On 13 oct, 11:28, " Alexa" <a...@alexa.com> wrote:
> >> Asi como me indicas lo tengo configurado en el web.config, lo que sucede
> >> es
> >> que eso solo OCULTA las opciones de Menú, pero no impide el acceso a
> >> ellas;
> >> pues si alguien sabe la URL completa de una zona restringida fácilmente
> >> puede accesar a ella. No sé si me dejé entender.
>
> >> "Aguardientico" <gusgon1 at nospam dot com> escribió en el mensaje de
> >> noticias:u3ghX06SKHA.4...@TK2MSFTNGP05.phx.gbl...
>
> >> > Hola Alexa:
>
> >> > Yo haria el control de acceso utilizando la seccion Authorization del
> >> > web.config esta me sirve para toda la carpeta o para paginas en
> >> > particular
> >> > (lo cual creo que es tu caso) un ejemplo sería así:
>
> >> > <location path="mi_pagina_solo_valida_para_administradores.aspx">
> >> > <system.web>
>
> >> > <authorization>
> >> > <allow roles="administrator"/>
> >> > <deny users="*"/>
> >> > </authorization>
> >> > </system.web>
> >> > </location>
>
> >> > Pero si de todas maneras quieres hacerlo via programación pienso que el
> >> > mejor lugar para hacerlo es en el evento PreInit
>
> >> > Atte
> >> > Gustavo Gonzalez
>
> >> > " Alexa" <a...@alexa.com> wrote in message
> >> >news:223F2EE0-15DC-45FD...@microsoft.com...
> >> >> Deseo hacer validaciones en el evento Load de ciertas páginas de mi
> >> >> website, de tal manera que solo los usuarios (membership) con rol
> >> >> "administrador" puedan accesar a su contenido, caso contrario son
> >> >> redireccionados a otra página.
> >> >> ¿Cómo debo hacer dicha validación y es el evento Load el más
Aguardientico
Con esa configuraci�n no solo "ocultas" sino que adem�s prohibes que vean
esa p�gina si no tienen el rol requerido.
Es decir que a pesar que la persona conozca exactamente el url, si no pasa
por el proceso de autenticaci�n (lease login) no podr� pasar por el proceso
de autorizaci�n y por ende no podr� ver la p�gina.
Atte.
Gustavo Gonzalez
" Alexa" <a...@alexa.com> wrote in message
news:066586D4-3D9C-4EC3...@microsoft.com...
> signature database 4504 (20091013) __________
>
> The message was checked by ESET NOD32 Antivirus.
>
> http://www.eset.com
>
>
>
__________ Information from ESET NOD32 Antivirus, version of virus signature database 4504 (20091013) __________
Alexa
problema es que me parece que si alguien supiera la URL "directa" a una
p�gina .aspx restringida, ME PARECE que dicha persona podr�a ingresar a
ella sin necesidad de pasar por el logueo. A�n tengo mi aplicaci�n en mi
localhost y el directorio ra�z es FranciasTrade , ese es el motivo de la
actual estrucutra de mi URL
http://localhost:4379/FranciasTrade/OfertasEspeciales.aspx (por ejemplo
OfertasEspeciales es una p�gina restringida solo para los roles CLIENTE y
ADMINISTRADOR)
Acabo de ver otro post que si responde a mi inquietud , en donde indican
que basta con restringir el acceso en el webconfig para que nadie que no
tenga el rol de cliente o administrador pueda accesar a una p�gina reservada
s�lo para los usuarios que tengas estos roles (a�n cuando dichos INTRUSOS
tengan la URL directa a dicha p�gina ).
"Jose A. Fernandez" <ferna...@gmail.com> escribi� en el mensaje de
noticias:81c4e25c-32a8-49c0...@v25g2000yqk.googlegroups.com...
> Entend� bien? esta mal tu configuraci�n? o el ejemplo que diste no
> concuerda con tu configuracion?
> je! muchas preguntas...
> ______________________
> Jose A. Fernandez
> blog: http://geeks.ms/blogs/fernandezja
>
>
>
>
> On 13 oct, 17:52, " Alexa" <a...@alexa.com> wrote:
>> Jos�, tengo actualmente implementanda todo las restricciones en el
>> web.config , te pongo una muestra (tengo muchos location de esta forma)
>> :
>>
>> <location path="OfertasEspeciales.aspx">
>> <system.web>
>> <authorization>
>> <allow roles="administrador"/>
>> <allow roles="cliente"/>
>> <deny users="*" />
>> </authorization>
>> </system.web>
>> </location>
>>
>> De esta manera, los usuarios pueden visualizar o no las opciones de men�
>> en
>> funci�n de su ROL ( o de que esten logueados o no ). Pero aqui viene MI
>> DUDA.
>> Por ejemplo, si un usuario se loguea con su login y password cuyo rol es
>> CLIENTE, y accesa as� a la zona permitida solo para clientes, puede ver
>> en su navegador sin problemas la URL de la zona
>> Ejemplohttp://localhost:4379/FranciasTrade/OfertasEspeciales.aspx, de tal
>> manera
>> que cualquier
>> otra persona con solo tener dicha URL podr�a tener acceso DIRECTAMENTE a
>> la
>> zona que es solo para clientes ,sin antes haber pasado por el Login.
>> Es por eso que me parece que es mejor hacer doble verificaci�n , una
>> parte
>> en el web.config y la otra parte en el evento Load de cada p�gina que
>> tiene
>> restricciones de acceso.
>> Ahora si espero haberme dejado entender.
>>
>> "Jose A. Fernandez" <fernande...@gmail.com> escribi� en el mensaje de
>> noticias:a5d8d8b6-672c-41fe-a361-a093aaa20...@k33g2000yqa.googlegroups.com...
>>
>>
>>
>> > Hola Alexa
>>
>> > Asi como te comenta Aguardientico es la forma de implementar en el
>> > web.config (o como sabr�s tambi�n en cada carpeta que necesitas puedes
>> > tener un web.config con la autorizaci�n)
>> > Es mejor que colocar en codigo, para mantener esta seguridad lo mas
>> > facilmente modificable... tambien lo puedes hacer en el load de la
>> > pagina, pero con LOCATION es lo mismo
>>
>> > Te tiene que funcionar, ya que la parte del MENU solo es posible
>> > cuando configuras los ROLES dentro del sitemap, aqui estamos
>> > autorizando paginas o directorios desde el tag LOCATION
>>
>> > ...ya hablamos de este tema por aqu (contigo)... mira el post:
>> > - Varios path en un location Opciones
>>
>> >http://groups.google.com.ar/group/microsoft.public.es.dotnet.aspnet/b...
>>
>> > Si no te funciona dime como tienes implementando la autenticacion de
>> > tu web.config?
>>
>> > Espero que te sirva de ayuda o guia.
>> > ______________________
>> > Jose A. Fernandez
>> > blog:http://geeks.ms/blogs/fernandezja
>>
>> > On 13 oct, 11:28, " Alexa" <a...@alexa.com> wrote:
>> >> Asi como me indicas lo tengo configurado en el web.config, lo que
>> >> sucede
>> >> es
>> >> que eso solo OCULTA las opciones de Men�, pero no impide el acceso a
>> >> ellas;
>> >> pues si alguien sabe la URL completa de una zona restringida
>> >> f�cilmente
>> >> puede accesar a ella. No s� si me dej� entender.
>>
>> >> "Aguardientico" <gusgon1 at nospam dot com> escribi� en el mensaje de
>> >> noticias:u3ghX06SKHA.4...@TK2MSFTNGP05.phx.gbl...
>>
>> >> > Hola Alexa:
>>
>> >> > Yo haria el control de acceso utilizando la seccion Authorization
>> >> > del
>> >> > web.config esta me sirve para toda la carpeta o para paginas en
>> >> > particular
>> >> > (lo cual creo que es tu caso) un ejemplo ser�a as�:
>>
>> >> > <location path="mi_pagina_solo_valida_para_administradores.aspx">
>> >> > <system.web>
>>
>> >> > <authorization>
>> >> > <allow roles="administrator"/>
>> >> > <deny users="*"/>
>> >> > </authorization>
>> >> > </system.web>
>> >> > </location>
>>
>> >> > Pero si de todas maneras quieres hacerlo via programaci�n pienso que
>> >> > el
>> >> > mejor lugar para hacerlo es en el evento PreInit
>>
>> >> > Atte
>> >> > Gustavo Gonzalez
>>
>> >> > " Alexa" <a...@alexa.com> wrote in message
>> >> >news:223F2EE0-15DC-45FD...@microsoft.com...
>> >> >> Deseo hacer validaciones en el evento Load de ciertas p�ginas de mi
>> >> >> website, de tal manera que solo los usuarios (membership) con rol
>> >> >> "administrador" puedan accesar a su contenido, caso contrario son
>> >> >> redireccionados a otra p�gina.
>> >> >> �C�mo debo hacer dicha validaci�n y es el evento Load el m�s
Alexa
clico sobre en enlace directo a una pagina restringida puedo ingresar a
ella sin haber iniciado sesi�n ?
Este es un ejemplo de un link directo a una pagina restringida de mi sitio
web http://localhost:4379/FranciasTrade/OfertasEspeciales.aspx
Basta con clicar sobre �l (o con copiarlo en la barrra de direcciones del
IExplorer) para accesar a dicha p�gina, a�n sin ni siquiera haber iniciado
sesi�n .
Es conveniente indicar que mi sitio web a�n lo tengo en mi localhost y desde
all� estoy haciendo todas las pruebas pertinentes antes de subirlo a un
hosting.
(Se me ocurre que puedo accesar a dicha p�gina restringida sin iniciar
sesi�n debido a que estoy probando mi aplicacion en el localhost)
"Aguardientico" <gusgon1 at nospam dot com> escribi� en el mensaje de
noticias:eI#gAOHTK...@TK2MSFTNGP06.phx.gbl...
Alexa
a iniciar sesi�n ya no funciona el enlace directo a dicha p�gina
restringida; sin embargo apenas corr� la aplicacion web desde Visual Web
Developer (que carga directamente la p�gina index.aspx accesible a todos los
usuarios) , y el dicho enlace directo a la p�gina restringida vuelve a
funcionar (sin pasar por el logueo).
�A que puede deberse esto?
"Aguardientico" <gusgon1 at nospam dot com> escribi� en el mensaje de
noticias:eI#gAOHTK...@TK2MSFTNGP06.phx.gbl...
Aguardientico
Puedes ingresar a esa p�gina porque estas usando el servidor web embebido en
el visual studio, el cual no hace control de autenticacion y autorizacion,
para que puedas probarlo correctamente deberias ponerlo en un IIS.
Atte.
Gustavo Gonzalez
" Alexa" <a...@alexa.com> wrote in message
news:EF545776-A038-4067...@microsoft.com...
> signature database 4508 (20091014) __________
>
> The message was checked by ESET NOD32 Antivirus.
>
> http://www.eset.com
>
>
>
__________ Information from ESET NOD32 Antivirus, version of virus signature database 4508 (20091014) __________
Alexa
"Aguardientico" <gusgon1 at nospam dot com> escribi� en el mensaje de
noticias:#MH8UtST...@TK2MSFTNGP05.phx.gbl...