|
|
Bezpieczeństwo aplikacji i baz danych
 Bezpieczeństwo jest ważne w każdym typie programu rozproszonego. Różne typy aplikacji
wymagają róznych poziomów zabezpieczeń. Pierwszym zadaniem systemu zabezpieczeń
jest uwierzytelnienie - czyli inofrmacja kim jest osoba która się loguje i skąd
program ma wiedzieć, że jest to naprawdę ta osoba. Uwierzytelnienie uzytkownika
wymaga jakiejś formy formy sprawdzania referencji, którymi legitymuje się użytkownik
aplikacji. Jeżeli przedstawione przez użytkownika referencje zostaną przez serwer
aplikacji uznane (serwer wie z kim ma do czynienia i jakie zasoby może udostępnić
etmu użytkownikowi) wówczas aplikacja może wyświetlić odpowiednią stronę z zakresem
uprawnień. Użytkownik, który nie zostanie uwierzytelniony nazyea się ANONIMOWY i
kierowany jest on automatycznie do strony logowania lub może być przekeirowany na
wskazany portal klienta.
System uwierzytelnienia jest bardzo trudnym i skomplikowanym procesem, dlatego nasza
firma wykorzystuje sprawdzone metody jakie oferuje środowisko VisualStudio oraz
ASP.Net. Środowisko to oferuje trzy rózne mechnizmy uwierzytelnienia:
Standardowe uwierzytelnianie WIndows z IIS
Forms - oparte o formularze - aplikacja wymaga, aby wszytskie moduły obsługujące
żadania stron zawierały cookies wydane przez serwer. Jest to domyślne rozwiązanie
naszych aplikacji. Próba dostępu użytkowników do zasobów zabezpieczonych bez cookies
pwooduje auotmatyczne przekierowanie do strony logowania., która weryfikuje referencje
wydające cookies.
Passport - rozwiązanie oprte na identyfikatorze użytkownika, ale cookies są wydawane
przez serwis uwierzytelnienia Microsoft. |
Logowanie do programu
|
Dostęp do programu zabezpieczony jest przed dostępem osób niepowołanych poprzez
konieczność podania znakowego kodu identyfikującego osobę w systemie oraz hasło
(minimum 7 znaków). Po uruchomieniu program wyświetla okno logowania.
|
 |
Polityka bezpieczeństwa
Domyślnie program używa autentykacji przez formularze, istnieje jednak możliwość
wdrożenia rozwiązań w sieci lokalnej opartej o autentykację przez Windows, w takim
wypadku zalogowanie do systemu MS Windows pozwala na automatyczną identyfikacją
pracownika i nadanie mu określonych uprawnień do aplikacji. W celu wybrania metody
i określenia priorytetów wraz z określoną polityką bezpieczeństwa danych należy
przed wdorżeniem wykonać analizę potrzeb i aktualnie posiadanych możliwości technicznych.
Żaden z systemów autentykacji Asp.Net nie oferuje szyfrowania danych przesyłanych
od klienta do serwera, problem wynika nie z technoplogii Asp.Net, ale z prokotłu
HTTP, jeżeli apliakcja ma przesyłać ważne dane i działać w internecie, a nie tylko
w sieci lokalnej, wóczas nalezy zastosować bezpieczny protokół SSL (Secure Socket
Layer) lub inny mechnizm szyfrujący.
Autentykacja Windows
Asp.net obsługuje uwierzytelnianie oparte na MS Windows, które zasadniczo oznacza
delegowanie procesu uwierzytelniania do IIS podstawowej infrastruktury serwerowej
na któej działa Asp.net. Serwer IIS można skonfigurować tak, aby wyświetlał odpwoeidnie
okno dialogowe w przeglądarce internetowej i pobierał za jego pomocą identyfikator
użytkownika i jego hasło.Dane logowania muszą być zgodne z danymi dla konta uzytkownika
Windows w domenie. Rozwiązanie dokonale spradwza się do pracy w sieci lokalnej opartej
o systemy Microsoft Windows.
Uwierzytelnianie oparte na formularzach
W przeciwieństwie do rozwiązań opartych o autnetykację Windows, stnadrdowa uiwerzytelnianie
oparte o formularze (cookies) doskonale nadaje się do aplikacji, do ktróch wymagany
jest dostęp przez internet. Za pomocą specjalnego formularza, administrator aplikacji
zakłada konta użytkownikom poszczególnych grup (ról).
Gdy użytkownik za pomocą przeglądarki internetowej żąda jakiejś zabezpieczonej strony
po raz pierwszy to serwer IIS skieruje takei żądanie na formularz logowania, za
pomocą któego użytkownik może podać swój identyfikator oraz hasło. Wporwadzone na
formularzu dane serwer porónuje z wartościami zapisanymi w swojej bazie SQL i jeżeli
uzyskana zostaje zgodność danych, wówczas serwer zezwala na dostęp. Wysłane jest
do przeglądarki klienta cookies reprezentujące skuteczne logowanie. Jest to cyfrowy
identyfikator (elektroniczna pieczątka) zaiwerająca identyfikator użytkownika w
zaszyfrowanej postaci.
|
Okno logowania do aplikacji internetowej ASP.Net wyświetlone za pomocą dedykowanej
przeglądarki internetowej bhm_browser (aplikacja umożliwia w zakładkach wyświetlanie
wybranych portali internetowych (konfiguracja odpowiedniego pliku XML umożliwia
definiowanie dodatkowych zakładek i wywołań). Użytkownik nie ma możliwości skorzystania
z dowolnej strony www, ograniczony jest wyłącznie do skonfigurowanej przez administratora.
Aplikację można także uruchomić za pomocą standardowej przeglądarki internetowej
Microsoft Internet Explorer. |
|
|
 |
|
Autoryzacja
Po przeprowadzeniu procesu uwierzytelniania, aplikacja "wie", kim jest użytkownik,
następnym krokiem jest określenie zakresu uprawnień, czyli odczytanie roli (ról)
do jakich uzytkownik został przypisany.
Rola to to grupa użytkowników o takim samym poziomie upranień
Asp.net zawiera dobrą obsługę sterowania dostępem do posczególnych modułów (plików
aspx), można administracyjnie określić, którzy użytkownicy mogą przeglądać poszczególne
zasoby, wporwadzać stosowne wpisy.
|
|