آموزش احراز هویت یا Authentication در ASP.NET با مثال

امنیت در ASP.NET

پیاده سازی نمودن امنیت در یک سایت جنبه های زیر را به همراه دارد:

• Authentication (احراز هویت): این فرآیند از هویت کاربر و صحت آن اطمینان حاصل می کند. ASP.NET اجازه چهار نوع احراز هویت را می دهد:
  • Windws Authentication (احراز هویت از طریق پنجره ها)
  • Frms Authentication (احراز هویت از طریق فرم ها)
  • Passprt Authentication (احراز هویت گذرنامه)
  • Custm Authentication (احراز هویت سفارشی)
• Authorization (احراز مجوز): فرآیندی است که در طی آن ، نقش های خاصی تعریف می شود و به کاربران خاص اختصاص داده می شوند.
• Confidentiality (محرمانه بودن): شامل رمزگذاری کانال ارتباطی بین مرورگر کلاینت و وب سرور می باشد.
• Integrity (یکپارچگی): شامل حفظ یکپاچگی داده می باشد. به عنوان مثال، حفظ یکپارچگی از طریق پیاده سازی امضای دیجیتال.

احراز هویت مبتنی بر فرم ها

به طور سنتی، احراز هویت مبتنی بر فرم ها ، شامل ویرایش کردن فایل web.config و افزودن یک صفحه login همراه با کد احراز هویت مناسب به آن می باشد.

فایل web.config ، را می توان به صورت زیر ویرایش کرد و کدهای زیر در آن نوشت:

<configuration>

<system.web>
   <authentication mode="Forms">
      <forms loginUrl ="login.aspx"/>
   </authentication>
   
   <authorization>
      <deny users="?"/>
   </authorization>
</system.web>
...
...
</configuration>

صفحه login.aspx مورد اشاره در قطعه کد بالا ، می تواند دارای کد زیر در پشت فایل با نام های کاربری و رمز های عبور جهت احراز هویت سخت کد شده (hard coded) در آن باشد:

protected bool authenticate(String uname, String pass)
{
   if(uname == "Tom")
   {
      if(pass == "tom123")
         return true;
   }
   
   if(uname == "Dick")
   {
      if(pass == "dick123")
         return true;
   }
   
   if(uname == "Harry")
   {
      if(pass == "har123")
         return true;
   }
   
   return false;
}

public void OnLogin(Object src, EventArgs e)
{
   if (authenticate(txtuser.Text, txtpwd.Text))
   {
      FormsAuthentication.RedirectFromLoginPage(txtuser.Text, chkrem.Checked);
   }
   else
   {
      Response.Write("Invalid user name or password");
   }
}

مشاهده می شود که کلاس FormsAuthentication  ، مسئول فرآیند احراز هویت می باشد.

با این حال، ویژوال استدیو ، ما را قادر به اجرای عملیات های  ایجاد کاربر (user creation) ، احراز هویت و مجوز کاربر به روشی ساده و بدون نوشتن هیچ نوع کدی می سازد. این کار را از طریق ابزار Web Site Administration انجام می دهد. این ابزار اجازه ایجاد کاربران و تعریف نقش ها را به ما می دهد.

جدا از این ، ASP.NET با مجموعه کنترل های readymode  همراه است ، که دارای کنترل هایی برای اجرای تمام وظایف مربوط به امنیت می باشد.

پیاده سازی امنیت مبتنی بر فرم ها

برای بر پا سازی احراز هویت مبتنی بر فرم ، نیاز به موارد ذیل داریم:

• پایگاه داده ای از کاربران برای پشتیبانی کردن فرآیند احراز هویت.
• یک وب سایت که از پایگاه داده موردنظر استفاده می کند.
• حساب های کاربری کاربران.
• نقش ها.
• محدودیت های کاربران و فعالیت های گروهی.
• یک صفحه پیش فرض ، جهت دادن اجازه به کاربران برای وارد شدن به سیستم (login) ، بازیابی رمز عبور ، یا تغییر رمز عبور.

برای ایجاد کاربران ، مراحل زیر را دنبال می کنیم:

مرحله (1): انتخاب Website > ASP.NET Configuration جهت باز کردن ابزار Web Application Administration Tool .

مرحله (2): کلیک کردن بر روی بخش Security

مرحله (3): انتخاب نوع احراز هویت  'Forms based authentication'  ، از طریق انتخاب کردن رادیوباتن  'From the Internet'.

مرحله (4): کلیک کردن بر روی لینک'Create Users'  ، برای ایجاد چند کاربر. اگر قبلاً نقش ها را تعریف کرده باشیم ، می توانیم در این مرحله ، نقش ها را به کاربران تخصیص دهیم.

مرحله (5): ایجاد یک وب سایت و افزودن صفحات زیر به آن:

• Welcome.aspx
• Login.aspx
• CreateAccount.aspx
• PasswordRecovery.aspx
• ChangePassword.aspx

مرحله (6): قرار دادن یک کنترل LoginStatus در صفحه Welcome.aspx در بخش login از طریق   جعبه ابزار (toolbox) .  این جعبه ابزار دو تمپلت دارد: LoggedIn  و LoggedOut .

در تمپلت LoggedOut ، یک لینک login ، و در تمپلت LoggedIn ، یک لینک logout در کنترل وجود دارد. می توانیم خصیصه های text مربوط به login و logout کنترل را از طریق پنجره Properties تغییر دهیم.

مرحله (7): قرار دادن یک کنترل LoginView از جعبه ابزار کنترل LoginStatus . در اینجا، می توانیم متن ها و سایر کنترل ها (hyperlink ها ، کلیدها و غیره) را قرار دهیم ، که بر اساس این که کاربر از سیستم خارج می شود (logout) یا خیر ، نمایش داده می شوند.

این کنترل دو تمپلت view دارد: تمپلت Anonymous  و تمپلت LoggedIn  . هر view را انتخاب کرده و متنی را برای کاربران ، جهت نمایش داده شدن برای هر تمپلت می نویسیم. متن باید در محلی که با رنگ قرمز مشخص شده است ، قرار داده شود.

مرحله (8): کاربران برنامه کاربردی ، توسط توسعه دهنده ایجاد شده اند. ممکن است که بخواهیم ، بازدید کننده ، یک حساب کاربری را ایجاد کند. برای انجام این کار ، یک لینک را زیر کنترل LoginView اضافه می کنیم ، که باید به صفحه CreateAccount.aspx  لینک شود.

مرحله (9): کنترل CreateUserWizard  را در صفحه create account قرار می دهیم. خصیصه ContinueDestinationPageUrl  این کنترل را به صفحه Welcome.aspx تنظیم می کنیم.

مرحله (10): ایجاد صفحه Login . یک کنترل Login را در صفحه قرار می دهیم. کنترل LoginStatus  به صورت خودکار به صفحه Login.aspx لینک می شود. برای تغییر دادن این وضعیت پیش فرض ، تغییرات زیر را در فایل web.config ایجاد می کنیم.

برای مثال ، اگر بخواهیم که نام صفحه login به صورت signup.aspx باشد ، کدهای زیر را به بخش <authentication> فایل web.config اضافه می کنیم:

<configuration>
   <system.web>
      <authentication mode="Forms">
         <forms loginUrl ="signup.aspx" defaultUrl = “Welcome.aspx” />
      </authentication>
   </system.web>
</configuration>

مرحله (11): کاربران اغلب رمز عبور خود را فراموش می کنند. کنترل PasswordRecovery  کمک می کند که کاربر دوباره به حساب کاربری خود دسترسی یابد. کنترل Login را انتخاب می کنیم. تگ smart  آن را باز کرده و گزینه 'Convert to Template' را کلیک می کنیم.

UI کنترل را برای قرار دادن یک کنترل hyperlink در زیر کلید login سفارشی سازی می کنیم ، که باید به صفحه PassWordRecovery.aspx لینک شود.

مرحله (12): کنترل PasswordRecovery  را در صفحه بازیابی رمز عبور (password recovery) قرار می دهیم. این کنترل نیاز به یک سرور ایمیل ، برای ارسال کردن رمزهای عبور به کاربران دارد.

مرحله (13): ایجاد یک لینک به صفحه ChangePassword.aspx در تمپلت LoggedIn  از کنترل LoginView در صفحه Welcome.aspx .

مرحله (14): قرار دادن یک کنترل ChangePassword در صفحه تغییر دادن رمز عبور (change password) . این کنترل نیز دو view دارد.

اکنون برنامه کاربردی را اجرا کرده و عملیات های مختلف امنیتی را مشاهده می نماییم.

برای ایجاد نقش ها، به Web Application Administration Tools باز می گردیم و روی بخش Security کلیک می کنیم. روی گزینه 'Create Roles' کلیک کرده و برخی از نقش ها را برای برنامه کاربردی ایجاد می کنیم.

بر روی لینک 'Manage Users' کلیک کرده و نقش ها را به کاربران تخصیص می دهیم.