Безопасность MVC web-приложении

Большую роль в веб-приложениях играют механизмы авторизации и аутентификации. Они позволяют разграничить доступ для различных групп пользователей, а также идентифицировать пользователей.

Так же как и в Web Forms, может использоваться два режима аутентификации: на основе форм (шаблон проекта Internet Application) и Windows-аутентификация (шаблон проекта Intranet Application). Для использования аутентификации на основе форм в файл конфигурации web. config заносятся следующие строки в элемент system. web:

" authentication mode-'Forms" >

" forms loginUrl="~/Account/Login" timeout="2880″ />

" /authentication" .

Элемент authentication определяет параметры аутентификации, в частности, гэг forms задает в параметре loginUrl ресурс, на который будет направлен пользователь, который не был аутентифицирован.

Для аутентификации на основе форм используется шаблон проекта Internet Application, который включает всю базовую инфраструктуру авторизации пользователей. Приложение, созданное, но данному шаблону, по умолчанию содержит в файле конфигурации подключение к БД. При желании можно самим создать свою БД и переопределить подключение. А база данных для этого подключения, создаваемая при первом обращении пользователя в папке AppData, хранит все данные об учетных записях, зарегистрированных в системе. Из этой же базы будут браться данные для подтверждения аутентификации пользователя.

В Visual Studio 2012 при использовании шаблона Internet Application, содержащего инфраструктуру для работы с учетными записями, используется подход CodeFirst, то есть при первом обращении к моделям в папке App Data создается база данных.

Для работы с БД учетных записей можно использовать то же самое web-приложение WAT (Web-site Assistant Tool, Средство администрирования веб-узла), которое используется и для ASP.Net Web Forms приложений.

Для настройки параметров аутентификации используются атрибуты элемента forms в файле конфигурации. Например, такие как:

• • defaultUrl: определяет путь, по которому осуществляется переход после авторизации;
• • loginUrl: адрес для аутентификации пользователя; значение по умолчанию — «-/Account/Login» ;
• • requireSSL: определяет, требуется ли SSL-соединение для передачи cookie; значение по умолчанию false;
• • timeout: определяет срок действия cookie в минутах.

Для задания прав доступа пользователей используется атрибут Authorize, который устанавливается для отдельного метода-действия контроллера или для всего контроллера в целом. Например:

[Authorize].

public ActionResult lndex () {return View ();}.

После установки такого атрибута к данному ресурсу получат доступ только те пользователи, которые успешно выполнили аутентификацию.

Также можно разрешить доступ к ресурсам нс аутенифицированным пользователям, пометив их атрибутом AIlowAnonymous.

Атрибут Authorize имеет два свойства: Users — содержит перечисление имен пользователей, которым разрешен вход? и Roles — содержит перечисление имен ролей, которым разрешен вход.

Например, для методов действий могут быть заданы следующие атрибуты Authorize со свойствами Users и Roles:

[Authorize (Users="eugene, sergey")].

public ActionResult lndex () { …}.

[Authorize (Roles="admin")] public ActionResult Create () {…}.

[Authorize (Roles="admin, moderator", Users="eugene, sergey")].

public ActionResult Edit () {…}.