Controle de acesso por funções no ASP.NET

Quando se desenvolve sistemas voltados para a web, uma das maiores preocupa��es dos desenvolvedores �, sem d�vida, a garantia da seguran�a da aplica��o. Muitas vezes � necess�rio negar ou permitir acesso a certas p�ginas para determinados usu�rios, e fazer esta verifica��o de permiss�o em cada p�gina ou em cada item do menu pode ser um tanto trabalhoso.

Para tornar poss�vel este controle de acesso, o ASP.NET fornece um recurso bastante poderoso e de f�cil utiliza��o chamado MemberShip. Por�m, n�o � o objetivo deste artigo explicar este recurso de maneira aprofundada. Explicarei aqui como controlar o acesso � p�ginas e a itens do menu de acordo com a fun��o do usu�rio logado no sistema, configurando o web.config e utilizando sitemap.

Para iniciarmos, devemos criar um novo site ASP.NET atrav�s do menu File > New > Web Site no Visual Studio e selecionar a op��o �ASP.NET Web Site�. Uma vez criado o projeto, observe que existe uma pasta chamada Account que cont�m algumas p�ginas que podem ser usadas para realizar o cadastro de usu�rios, altera��o de senha e login. Todo esse processo � gerenciado pelo ASP.NET, para maiores detalhes sobre o funcionamento, sugiro uma pesquisa sobre o tema.

Criando usu�rios

Para que possamos implementar o controle de acesso, � preciso que existam usu�rios para realizar login no site. Para isso, podemos executar nosso projeto e cadastrar alguns usu�rios para teste.

Na p�gina inicial, no canto superior direito, clique em �Log In� para se redirecionado � p�gina de login. Uma vez estando nessa p�gina, ser� dada a op��o de realizar login no sistema ou criar uma nova conta, clicando no link �Register�, como mostra a Figura 1.

Figura 1: Op��o Register para criar nova conta

A p�gina de registro � de f�cil utiliza��o e dispensa maiores explica��es. Crie ent�o um usu�rio com o User Name �gerente�. Feito isso, repita o processo e crie outro usu�rio, dessa vez com User Name �vendedor�. Sugiro utilizar os nomes indicados para que possa acompanhar o artigo de forma mais segura.

Criando e atribuindo fun��es

Agora voc� pode fechar a p�gina do site e interromper a execu��o a partir do Visual Studio. J� na IDE, acesse o menu Website > ASP.NET Configuration. Ser� aberta a p�gina de administra��o do site, gerenciada pelo pr�prio ASP.NET.

Na primeira p�gina, clique na op��o �Security�. Na p�gina que se abrir�, clique na op��o �Enable Roles�. Surgir� ent�o a op��o �Create or Manage Roles�, clique nela para definir as fun��es dos usu�rios.

A p�gina exibida � mostrada na Figura 2.

Figura 2: Cria��o de nova fun��o

Neste momento, criaremos duas fun��es: Gerente e Vendedor (os nomes poderiam ser outros, utilizareis estes para melhor assimilar aos usu�rios). Para isso, basta informar o nome da fun��o e clicar no bot�o �Add Role�.

Tendo criado as duas fun��es, volte � p�gina Security clicando na aba de mesmo nome. Clique ent�o em �Manage Users�, conforme mostra a Figura 3.

Figura 3: Op��o Manage Users

Agora iremos atribuir fun��es aos usu�rios, como se pode imaginar, os usu�rios ser�o ligados � fun��o hom�nima.

Clique ent�o na pop�ao �Edit Roles� do primeiro usu�rio, como mostra a Figura 4.

Figura 4: Editar as fun��es do usu�rio

Como podemos ver na Figura 5, � poss�vel ligar um usu�rio a mais de uma fun��o. Por�m, para os fins deste artigo, definiremos apenas uma fun��o para cada usu�rio.

Figura 5: Atribui��o de fun��es

Preparando a estrutura do site

Montaremos uma estrutura simples, mas que permitir� aplicar e compreender os conceitos e funcionalidades que ser�o apresentados a partir deste ponto.

Clicando com a direita sobre o projeto no Solution Explorer, selecione a op��o �New Folder� e crie duas pastas: Produtos e Vendas. Clicando com a direita sobre a pasta Vendas, v� at� a op��o �Add New Item� e adicione dois novos formul�rios: NovaVenda.aspx e AlterarVenda.aspx. Repita o processo na pasta Produtos e crie os formul�rios Consulta.aspx e Cadastro.aspx. Por �ltimo, adicione um novo formul�rio de nome Relatorios.aspx na raiz do site, ou seja, fora de qualquer pasta.

Ao fim destes passos, a estrutura do site deve estar como na Figura 6.

Figura 6: Estrutura do site

Agora clique com a direita novamente sobre a raiz do projeto e, em seguida, na op��o Add New Item. Selecione o item Sitemap e mantenha o nome Web.Sitemap.

Substitua o conte�do do sitemap pelo conte�do da Listagem 1, onde � montada estrutura do menu que d� acesso �s v�rias p�ginas do sistema.

Listagem 1: Conte�do do Web.sitemap

<?xml version="1.0" encoding="utf-8" ?>
<siteMap xmlns="http://schemas.microsoft.com/AspNet/SiteMap-File-1.0" >
    <siteMapNode url="" title=""  description="">
        <siteMapNode url="~/Default.aspx" title="Principal"  description="P�gina Principal" />
        <siteMapNode url="" title="Produtos"  description="" >
          <siteMapNode url="~/Produtos/Consulta.aspx" title="Consulta"  description="Consultar Produtos" />
          <siteMapNode url="~/Produtos/Cadastro.aspx" title="Cadastro"  description="Cadastrar Produtos" />
        </siteMapNode>
        <siteMapNode url="" title="Vendas"  description="" >
          <siteMapNode url="~/Vendas/NovaVenda.aspx" title="Nova Venda"  description="Nova Venda" />
          <siteMapNode url="~/Vendas/AlterarVenda.aspx" title="Altera��o"  description="Altrar Venda" />
        </siteMapNode>
        <siteMapNode url="~/Relatorios.aspx" title="Relat�rios"  description="Relat�rios Gerenciais"/>
    </siteMapNode>
</siteMap>

Em seguida, abra a MasterPage do site e selecione o menu principal, onde constam os itens Home e About. Clique na smart tag, e em seguida na op��o �Chose Data Source�, selecione �New data source�.

Figura 7: Selecionar DataSource para o menu

Na janela que ser� aberta, escolha o item Sitemap e clique em Ok. Ser� adicionado um SiteMapDataSource, selecione-o e marque a propriedade ShowStartingNode como false.

A apar�ncia do menu deve ficar como na Figura 8.

Figura 8: Apar�ncia do menu ap�s defini��o do data soruce

Executando o projeto, veremos que temos acesso a todos os itens do menu. Trabalharemos ent�o para restringir o acesso �s p�ginas, assim, ao clicar nos itens do menu, o usu�rio que n�o tiver permiss�o ser� redirecionado para a p�gina anterior.

Gerenciando o acesso �s p�ginas

Abra o web.config do projeto e dentro da tag configuration insira o c�digo da Listagem 3.

Listagem 2: Gerenciando acesso � p�gina de Relat�rios

<location path="Relatorios.aspx">
    <system.web>
      <authorization>
        <deny users="?"/>
        <deny roles="Vendedor"/>
        <allow roles="Gerente"/>
      </authorization>
    </system.web>
</location>

Em seguida, clique com a direita sobre a pasta Produtos e em �Add New Item�. Selecione o item �Web Configuration File� e clique em Ok. No arquivo web.config da pasta Produtos, defina o seguinte conte�do.

Listagem 3: Gerenciando o acesso �s p�ginas da pasta Produtos

<?xml version="1.0"?>
<configuration>
  <location path="Consulta.aspx">
    <system.web>
      <authorization>
        <deny users="?"/>
        <allow roles="Gerente,Vendedor"/>
      </authorization>
    </system.web>
  </location>
  <location path="Cadastro.aspx">
    <system.web>
      <authorization>
        <deny users="?"/>
        <deny roles="Vendedor"/>
        <allow roles="Gerente"/>
      </authorization>
    </system.web>
  </location>
</configuration>

Para finalizar, repita o processo na pasta Vendas, mas utilizando o conte�do da Listagem 5.

Listagem 4: Gerenciando o acesso �s p�ginas da pasta Vendas

<?xml version="1.0"?>
<configuration>
  <location path="NovaVenda.aspx">
    <system.web>
      <authorization>
        <deny users="?"/>
        <allow roles="Gerente,Vendedor"/>
      </authorization>
    </system.web>
  </location>
  <location path="AlterarVenda.aspx">
    <system.web>
      <authorization>
        <deny users="?"/>
        <deny roles="Vendedor"/>
        <allow roles="Gerente"/>
      </authorization>
    </system.web>
  </location>
</configuration>

Agora voc� j� pode executar o projeto e tentar acessar os itens do menu. Caso voc� esteja logado com um usu�rio sem permiss�o, ser� levado � p�gina de login.

Alguns detalhes que merecem destaque nas listagens acima s�o listadas a seguir.

A propriedade allow define quais usu�rios ou fun��es ter�o acesso a esta p�gina.
A propriedade deny, por sua vez, nega o acesso � p�gina em quest�o.
O sinal de interroga��o utilizado indica que o acesso foi negado a usu�rios n�o registrados, ou seja, para o acesso an�nimo.
O sinal de asterisco indica que o acesso � p�gina foi negado ou permitido para todas as fun��es ou usu�rios.

Gerenciando o acesso ao menu

Nesse ponto j� conseguimos gerenciar o acesso �s p�ginas, mas os itens do menu que d�o acesso a elas continuam vis�veis. O ideal seria evitar que usu�rios n�o autorizados tivessem acesso ao menu.

Veremos o qu�o f�cil � realizar esta tarefa, realizando apenas algumas modifica��es no Web.config do projeto e no sitemap.

Ent�o, no Web.config do projeto, adicione o seguinte c�digo dentro da tag System.Web.

Listagem 5: Defini��o do SiteMapProvider

<siteMap defaultProvider="SiteMap1" enabled="true">
  <providers>
    <add name="SiteMap1"
      description="Default SiteMap provider."
      type="system.Web.XmlSiteMapProvider "
      siteMapFile="Web.sitemap"
      securityTrimmingEnabled="true" />
  </providers>
</siteMap>

Agora, no Web.sitemap, adicionaremos a propriedade roles aos itens, conforme mostra a Listagem 7.

Listagem 6: Novo conte�do do Web.sitemap

<?xml version="1.0" encoding="utf-8" ?>
<siteMap xmlns="http://schemas.microsoft.com/AspNet/SiteMap-File-1.0">
  <siteMapNode url="" title=""  description="" roles="*">
    <siteMapNode url="~/Default.aspx" title="Principal"  description="P�gina Principal" roles="*"/>
    <siteMapNode url="" title="Produtos"  description="" roles="Gerente,Vendedor">
      <siteMapNode url="~/Produtos/Consulta.aspx" title="Consulta"  description="Consultar Produtos" roles="Gerente,Vendedor"/>
      <siteMapNode url="~/Produtos/Cadastro.aspx" title="Cadastro"  description="Cadastrar Produtos" roles="Gerente"/>
    </siteMapNode>
    <siteMapNode url="" title="Vendas"  description="" roles="Gerente,Vendedor">
      <siteMapNode url="~/Vendas/NovaVenda.aspx" title="Nova Venda"  description="Nova Venda" roles="Gerente,Vendedor"/>
      <siteMapNode url="~/Vendas/AlterarVenda.aspx" title="Altera��o"  description="Altrar Venda" roles="Gerente"/>
    </siteMapNode>
    <siteMapNode url="~/Relatorios.aspx" title="Relat�rios"  description="Relat�rios Gerenciais" roles="Gerente"/>
  </siteMapNode>
</siteMap>

Feito isso, salve e execute o projeto. Logo de in�cio, n�o estando logado, voc� s� ter� acesso ao item Principal cujo acesso � permitido a qualquer um que entre na p�gina. Fa�a login como vendedor e verifique que s� ter� acesso a alguns itens. Por fim, fa�a login como gerente para ter acesso a todos os itens do menu.

Conclus�o

Como vimos, gerenciar o acesso �s p�ginas e aos itens do menu no ASP.NET, de acordo com o usu�rio conectado e sua fun��o, n�o � uma tarefa dif�cil. O framework nos fornece recursos para tratar de forma pr�tica essa parte dos sistemas web.

O objetivo deste artigo foi mostrar, na pr�tica, como controlar o acesso pela fun��o dos usu�rios conectados. Sugiro ao leitor que tenha interesse, pesquisar sobre Membership e Security Trimming no ASP.NET para aprimorar seus conhecimentos a respeito do tema.

Grato pela aten��o, finalizo aqui este artigo. At� a pr�xima.

Confira outros conte�dos:

Por Joel Em 2012

Coment�rios nesta publica��o Escrever um coment�rio sobre conte�do

Matheus Silva

N�vel 1

PRECISO DA RESPOSTA URGENTE.... Hoje n�o se usa mais o Web.sitemap, ent�o como fa�o para fazer essa restri��o atualmente usando MVC no Visual Studio 2017???? Eu consegui fazer um if que esconde o menu para usu�rios n�o logados, portanto quando o usu�rio clica em sair o menu volta a ser exibido para todos!

há +1 ano

Ver coment�rios anteriores (9)

Daniella Gomes

DevMedia

Pode deixar Matheus que com certeza vamos avisar quando sair o curso, ok ;)
Tmj[]

há +1 ano

Black November

Desconto exclusivo para as primeiras 200 matrículas!

Pagamento anual

12x no cartão

De: R$ 69,00

Por: R$ 54,90

Total: R$ 658,80

Garanta o desconto

Formação FullStack Completa
Carreira Front-end I e II, Algoritmo e Javascript, Back-end e Mobile
+10.000 exercícios gamificados
+50 projetos reais
Comunidade com + 200 mil alunos
Estude pelo Aplicativo (Android e iOS)
Suporte online
12 meses de acesso

Pagamento recorrente

Cobrado mensalmente no cartão

De: R$ 79,00

Por: R$ 54,90 /mês

Total: R$ 658,80

Garanta o desconto

Formação FullStack Completa
Carreira Front-end I e II, Algoritmo e Javascript, Back-end e Mobile
+10.000 exercícios gamificados
+50 projetos reais
Comunidade com + 200 mil alunos
Estude pelo Aplicativo (Android e iOS)
Suporte online
Fidelidade de 12 meses
Não compromete o limite do seu cartão

<Perguntas frequentes>

Carreira

Metodologia

Assinatura e Pagamentos

Cadastro

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Controle de acesso por fun��es no ASP.NET

Veja neste artigo como controlar o acesso �s p�ginas e aos itens do menu da aplica��o de acordo com a fun��o do usu�rio conectado, configurando o web.config e utilizando sitemap.

Criando usu�rios

Criando e atribuindo fun��es

Preparando a estrutura do site

Gerenciando o acesso �s p�ginas

Gerenciando o acesso ao menu

Conclus�o

Confira outros conte�dos:

<Perguntas frequentes>

Por onde devo iniciar os estudos?

Em quanto tempo vou me tornar um programador?

Eu preciso de um diploma de faculdade para come�ar a atuar como programador?

Por que a programa��o se tornou a profiss�o mais promissora da atualidade?

Quais s�o os principais diferenciais da DevMedia?

O que eu irei aprender estudando pela DevMedia?

Quais as vantagens de aprender programa��o atrav�s da linguagem JavaScript?

A plataforma oferece certificados?

A plataforma tem suporte ao aluno, como funciona?

A DevMedia me forma como programador Full Stack?

Tem hor�rio para as aulas?

Por que a DevMedia n�o usa videoaulas em sua did�tica?

Preciso de um computador espec�fico para estudar na DevMedia?

Eu consigo estudar pelo celular?

A DevMedia tem aplicativo?

Preciso estar na faculdade para acompanhar os estudos na DevMedia?

Quais s�o os planos de assinatura dispon�veis?

Adquirindo o plano, terei acesso a todo o conte�do?

A plataforma tem planos vital�cios?

A DevMedia tem fidelidade?

Como funciona o cancelamento?

A renova��o � autom�tica?

Como excluir meus dados da plataforma?