Sécurisation des applications ASP.Net
Les sites web exposent leurs pages à de grands nombres d’utilisateurs. Que ce soit en configuration internet ou intranet, il est nécessaire de définir des règles d’accessibilité aux différents éléments du site. Ce chapitre aborde les concepts de base liés à la sécurisation des applications ASP.Net.
1. L’authentification par formulaire
L'authentification désigne le processus d'obtention d'informations d'identification (telles que le nom et le mot de passe) d'un utilisateur et de validation de ces données auprès d'une autorité. Si les informations d'identification sont valides, l'entité qui les a présentées est considérée comme étant une identité authentifiée.
ASP.Net offre plusieurs méthodes d’authentification. On s’intéresse dans ce chapitre à l'authentification par formulaire (Forms). Avec cette méthode le serveur web « IIS » autorise l’accès aux pages par des visiteurs anonymes, mais, une page d’authentification peut être implémentée à cet effet. Cette méthode est utilisée pour les applications internet.
Pour activer cette authentification, il faut activer le mode formulaire au niveau du fichier de configuration Web.config
<system.web>
<authentication mode="Forms">
<forms loginUrl="Login.aspx" />
</authentication>
</system.web>
Si l’utilisateur n’est pas authentifié, IIS le redirige vers une page qui peut être définie également dans le fichier Web.config à l'aide de l'attribut loginUrl.
Une fois l'identité authentifiée, le processus d'autorisation détermine si cette identité a accès à une ressource particulière.
2. Gestion des autorisations
Les autorisations accordent ou interdisent explicitement l’accès à certaines ressources
(URL) pour les utilisateurs du site. Ces autorisations peuvent s’appliquer à un utilisateur spécifique ou plus généralement, à un groupe d’utilisateurs ayant le même rôle.
1.Gestion des rôles
La gestion des rôles aide à gérer les autorisations, en spécifiant les ressources auxquelles
les