Seguran�a em ASP.NET Utilizando Forms Authentication

A segurança � um dos temas de maior import�ncia no desenvolvimento de uma aplicaç�o. Com o crescimento da Internet e o aumento do n�mero de usu�rios conectados, � cada vez mais eminente o risco de invas�o de uma aplicaç�o. Mesmo que o servidor da aplicaç�o esteja protegido por softwares, como o firewall, devemos aumentar ainda mais a segurança e proteger a aplicaç�o tamb�m contra acessos indevidos de usu�rios n�o-credenciados. Isso quer dizer que um usu�rio s� dever� visualizar uma p�gina se realmente tiver autorizaç�o para faz�-lo.

O ASP.NET trouxe um novo modelo de segurança para a sua aplicaç�o Web, que pode ser dividido em duas etapas b�sicas:

Autenticaç�o (valida credenciais);
Autorizaç�o (determina o que pode ser acessado).

Na autenticaç�o, o usu�rio ser� validado de acordo com uma base de usu�rios residentes em um reposit�rio de usu�rios Windows, armazenados em arquivo XML ou cadastrados em uma base dados SQL. Independentemente do meio de armazenamento utilizado, caber� ao desenvolvedor definir o melhor mecanismo a ser usado, levando sempre em consideraç�o o cen�rio de uso da aplicaç�o.

Ap�s a identificaç�o do usu�rio, ocorre o processo de autorizaç�o, que consiste em definir se esse usu�rio ter� ou n�o acesso ao recurso solicitado. Isso significa que o fato de o usu�rio inserir as devidas credenciais n�o garante que ele ter� acesso ao recurso solicitado. A Figura 1 demonstra o modelo de segurança e apresenta um outro recurso, que consiste em utilizar a camada SSL (Secure Socket Layer) para tornar mais seguro o tr�fego de dados entre o servidor e o cliente. Neste artigo, abordaremos apenas o recurso Autenticaç�o Forms (Forms Authentication).

Figura 1. Modelo de segurança ASP.NET.

Quem trabalhou com ASP sabe muito bem como � dif�cil implementar segurança na aplicaç�o. Para isso, era preciso no m�nimo criar um c�digo e replic�-lo em todas as p�ginas, utilizando funç�es juntamente com vari�veis Sessions ou Cookies. Normalmente, um site pode conter diversos tipos de p�ginas de dados, cadastro, relat�rios e informaç�es. Ao tentar acessar uma p�gina protegida, o usu�rio � redirecionado para uma p�gina padr�o de login (veja a Figura 2). Ap�s validar a senha, o ASP.NET cria o Cookie de autenticaç�o e o usu�rio � automaticamente redirecionado para a p�gina solicitada. Esse tipo de autenticaç�o � um dos mais utilizados no ASP.NET devido � sua facilidade de implementaç�o e � compatibilidade com os diversos cen�rios de intranet e internet.

Figura 2. Visualizaç�o Login.aspx

Implementando p�gina Login.aspx

Para criar uma p�gina de login como a da Figura 2, abra o Visual Studio .NET, crie uma aplicaç�o ASP.NET e, no Solution Explorer, adicione um novo formul�rio (Add / Add Web Form) denominado login.aspx, contendo os seguintes controles: dois TextBox (ID=txtUsuario e ID=txtSenha TextMode=Password), dois Label (Text=Usu�rio e Text=Senha) e um LinkButton (Text=Confirmar ID=lnkConfirma).

Para inserir o c�digo, d� um duplo clique no LinkButton (ID=lnkConfirma) e digite o c�digo da Listagem 1. Cabe ressaltar que, antes disso, � necess�rio referenciar o namespace System.Web.Security para que possamos ter acesso � classe Security. Fazemos isto por meio do comando Imports, que � adicionado sempre no in�cio da p�gina. A explicaç�o encontra-se na pr�pria listagem.

Listagem 1. Codificando arquivo login.aspx.vb

 
Utilizar NameSpace: System.Web.Security

Imports System.Web.Security


Public Class login

  Inherits System.Web.UI.Page


Private Sub lnkConfirma_Click(_

   ByVal sender As System.Object, _

   ByVal e As System.EventArgs) _

   Handles btnConfirmar.Click

  'Este c�digo est� verificando o usu�rio e senha

  If txtUsuario.Text = "Convidado" And _

     txtSenha.Text = "1234" Then

     'Em caso de acesso autorizado, chamamos o

     'm�todo abaixo que cria o cookie de autenticaç�o

     'e redireciona usu�rio para pagina de origem

     FormsAuthentication.RedirectFromLoginPage( _

        txtUsuario.Text, False)

  End If

End Sub
 

End Class

Pronto, a p�gina de login j� est� montada. Como neste exemplo n�o estamos utilizando nenhum banco de dados, o usu�rio deve digitar usu�rio "Convidado" e senha "1234" para ter acesso � aplicaç�o. Para trabalhar com banco de dados, voc� s� precisa incluir o c�digo de validaç�o no banco de dados.

Para que a autenticaç�o entre em aç�o, basta mais uma simples configuraç�o no arquivo web.config. Para quem n�o conhece esse arquivo, ele � um novo recurso (em formato XML) oferecido pelo ASP.NET para efetuar as configuraç�es de sua aplicaç�o por meio de elementos, tal como informaç�es de acesso a banco de dados. � poss�vel alterar este arquivo a qualquer momento, mas fique atento para o fato de que o ASP.NET monitora as alteraç�es e reinicializa a aplicaç�o web sempre que detecta uma alteraç�o.

Tabela 1. Antes de ir para o web.config, vamos analisar nosso primeiro elemento, denominado.

(web.config)
Mode	Indica o tipo de autenticaç�o a ser utilizada, aceita os seguintes par�metros: Windows\|Forms\|Passport\|None
Name	Nome do cookie. Use qualquer nome, mas para o caso de v�rias aplicaç�es que utilizam a mesma autenticaç�o, use o mesmo cookie e altere para definir o mesmo algoritmo de codificaç�o usado nas informaç�es no cookie
Path	Caminho utilizado para o cookie. Esse par�metro � case-sensitive e uma configuraç�o errada pode gerar erros; o valor padr�o � "/"
LoginUrl	Informa a url da p�gina de login. Ex: login.aspx; se for omitido, buscar� por default.aspx
Protection	Indica o n�vel de proteç�o das informaç�es no cookie; o recomendado � "ALL"
Timeout	Tempo que o cookie vai expirar no navegador (Browser)

Para implementar a autenticaç�o e a autorizaç�o no arquivo web.config, localize as tags e e modifique-as de acordo com a Listagem 2.

Dentro do elemento o atributo "deny" e "?" bloqueia acesso de usu�rios n�o autenticados. Para bloquear todos os usu�rios troque o �?� (interrogaç�o) pelo "*" (asterisco). A partir da�, voc� pode tentar abrir qualquer p�gina de sua aplicaç�o e o usu�rio ser� automaticamente redirecionado para a p�gina de login (login.aspx). Uma vez validadas as credenciais (Usu�rio=Convidado e Senha=1234), o usu�rio ser� redirecionado para a p�gina solicitada. At� aqui sua aplicaç�o j� est� protegendo o acesso a todas p�ginas *.aspx.

Finalizando Login com segurança

Para garantir que o usu�rio finalize a aplicaç�o com segurança, inclua o namespace System.Web.Security e chame o m�todo FormsAuthentication.SignOut em qualquer p�gina para que o ASP.NET remova o cookie de autenticaç�o. Feito isso, basta voc� usar o comando Response.Redirect (�login.aspx�) para levar o usu�rio para tela de Login.

Exibindo status da autenticaç�o.
Voc� pode exibir na aplicaç�o informaç�es sobre o tipo de autenticaç�o utilizada e sobre o usu�rio ativo no momento.
Liberando uma p�gina para acesso sem autenticaç�o.
Para liberar uma p�gina ou uma pasta para que os usu�rios possam acess�-la sem que seja preciso se autenticarem na aplicaç�o, utilize o elemento no arquivo web.config. Para evitar erros, certifique-se de que esse elemento seja inserido no web.config logo ap�s o elemento . Observe o exemplo na Listagem 3. Nele, est�o sendo liberadas a p�gina status.aspx e a pasta ajuda, para que qualquer usu�rio tenha acesso a esses arquivos.
Determinando autorizaç�o para grupos de usu�rios.
O ASP.NET permite restringir o acesso a pastas ou arquivos por grupos espec�ficos de usu�rios. Nos exemplos anteriores, todos os usu�rios com credenciais v�lidas tinham acesso a todos os recursos da aplicaç�o. Para modificar esse cen�rio e determinar que grupo de usu�rios pode acessar quais p�ginas, utilize o par�metro Roles dentro de e crie os grupos. Veja o exemplo da Listagem 4, no qual somente os usu�rios administradores acessam a pasta admin.

Uma vez modificado o web.config, localize o arquivo global.asax no Solution Explorer. Esse arquivo est� presente apenas em aplicaç�es ASP.NET e define os eventos a serem disparados pela aplicaç�o. Dentre os eventos dispon�veis no globa.asax, localize o AuthenticateRequest. Este evento � disparado durante o processo de autenticaç�o. Modifique-o conforme a Listagem 5, cujo objetivo � fazer com que a aplicaç�o realize uma consulta na base de dados e localize o grupo ao qual esse usu�rio pertence. Feito isso, armazene-o na vari�vel UserRoles, que ser� repassada para o controle de segurança.
Listagem 5. Alterando global.asax
```
 
Sub Application_AuthenticateRequest(_ByVal sender As Object, ByVal e As EventArgs)

'Este evento � disparado durante autenticaç�o

If (Not (HttpContext.Current.User Is Nothing)) Then

  If HttpContext.Current.User.Identity.AuthenticationType = "Forms" Then

   'Aqui voc� faz consulta no banco de dados e

   'obt�m os grupos que esse usu�rio pertence

   'utilizando o UserID do usu�rio

   'Salve na vari�vel UserRoles. Na falta da consulta

   'ao banco de dados defina Admin p/ todos usu�rios

 
   Dim UserID As String = _

     HttpContext.Current.User.Identity.Name.ToString

   Dim id As System.Web.Security.FormsIdentity = _

     CType(HttpContext.Current.User.Identity, _

     System.Web.Security.FormsIdentity)


   'Exemplo analizando retorno de uma

   'consulta no banco de dados

   Dim UserRoles() As String

   If UserID = "Convidado" Then

      UserRoles(0) = "Operador"

   Else

      UserRoles(0) = "Admin"

   End If

   'Adicione Roles

   HttpContext.Current.User = _

   New System.Security.Principal.GenericPrincipal( _id, UserRoles)

  End If
End If

End Sub
                    
```
Protegendo outros arquivos al�m dos 'aspx'.
O ASP.NET expande os recursos de segurança da Autenticaç�o Forms para que voc� possa impedir o download de determinados arquivos presentes na pasta da aplicaç�o, como, por exemplo, uma planilha Excel (*.xls) com uma tabela de preços. Para proteger arquivos *.XLS, siga estes passos:
1. Abra o gerenciador do IIS>Pasta de sua aplicaç�o>Propriedades>Configuraç�o;
2. Clique em adicionar e digite os seguintes dados:
  - Execut�vel: C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_isapi.dll
  - Extens�o: .XLS
  - Verbos limitar a: POST,GET,HEAD
3. Pressione OK e note que o `.XLS` aparece na Figura 3. Observe apenas que o caminho da dll est� levando em consideraç�o .NET FrameWork 1.1.
  
  Figura 3. Tela IIS � Propriedades
Uma vez feita a configuraç�o no IIS, modifique o arquivo web.config conforme demonstrado na Listagem 6.

Assim, voc� j� est� protegendo o download de arquivos *.XLS pela pasta de sua aplicaç�o. O usu�rio que tentar fazer o download desses arquivos ser� redirecionado para o processo de autenticaç�o.
Utilizando a mesma autenticaç�o em duas aplicaç�es diferentes.
Um caso b�sico de utilizaç�o dessa facilidade seria um conjunto de sistemas na Intranet da empresa. Imagine o usu�rio precisando digitar as credenciais em cada aplicaç�o. O ASP.NET permite que, mesmo em aplicaç�es diferentes, o usu�rio possa realizar o login apenas uma �nica vez e, com isso, validar os futuros acessos pelas credenciais j� informadas (desde que ainda v�lidas).

Vamos supor que voc� tenha criado duas aplicaç�es: App01 --> http://locahost/app01, App02 --> http://locahost/app02.

O segredo para que as duas aplicaç�es utilizem o mesmo cookie � definir o mesmo nome para o cookie em ambos os arquivos web.config. Em seguida, na segunda aplicaç�o, informa-se o path da p�gina de login da primeira aplicaç�o. Ap�s isso, precisaremos adicionar o atributo a ambos os web.config: esse atributo faz com que as duas aplicaç�es, al�m de utilizarem o mesmo nome para o cookie, codifiquem os dados deles utilizando um �nico algoritmo, o que permite a recuperaç�o em uma das duas aplicaç�es. Voc� pode implementar essa mesma modificaç�o quando a aplicaç�o estiver rodando em um WebFarm (conjunto de servidores que utilizam a mesma aplicaç�o, seja como cluster ou balanceamento de carga), pois dependendo da estrutura do WebFarm, a requisiç�o pode iniciar em um servidor e a pr�xima p�gina ser processada em outro. Observe as implementaç�es na Listagem 7.
Gerando chaves para Machine_Key.
O objetivo de gerar � definir um par de chaves de criptografia de forma que o conte�do de autenticaç�o do cookie possa ser lido e recuperado em mais de uma aplicaç�o. Sendo assim, todas aplicaç�es que utilizarem o mesmo par de chaves definidas no , utilizaram o mesmo cookie. Permitindo assim a troca de informaç�es.

Adicione um novo formul�rio (Add / Add Web Form) denominado machine_key.aspx e que contenha um TextBox (TextMode=MultiLine) e um Button (veja a Figura 4). Pressione F7 para abrir a janela de c�digo e digite o c�digo da Listagem 8 para gerar uma nova MachineKey.

Figura 4. Gerando machine key

Adicione um arquivo de classe (Add / Add Class) denominado machine.vb e coloque o c�digo apresentado na Listagem 9.
Listagem 8. Adicionando c�digo a Machine_key.aspx.vb
```
 
Private Sub Button1_Click( _ByVal sender As System.Object, _ByVal e As System.EventArgs) _

  Handles Button1.Click


  TextBox1.Text = Crypto.KeyCreator.CreateMachineKey

End Sub
                    
```
Listagem 9. Criando machine.vb � classe Crypto
```
 
'[Original no http://support.microsoft.com/default.aspx?scid=kb;EN-US;313091]

Imports System

Imports System.Text

Imports System.Security.Cryptography

Namespace Crypto

Public Class KeyCreator

  Public Shared Function CreateMachineKey() As String

    Dim decryptionKey As String = CreateKey(24)

    Dim validationKey As String = CreateKey(64)

    Return "
                    
```

Clique aqui para ler todos os artigos desta ediç�o

Seguran�a em ASP.NET Utilizando Forms Authentication

Neste artigo, abordaremos apenas o recurso Autenticação Forms (Forms Authentication).

Implementando p�gina Login.aspx

Finalizando Login com segurança

Artigos relacionados