ASP.net Security
1 like169 views
Created : https://www.linkedin.com/in/nathankrasney/ Slides as part of web programming course
![logged in שאינו למשתמש גישה הגבלת
בשם attribute בעזרת נעשה וזה Login שעשה למשתמש רק (Viewל גישה )ודרכה actionל גישה להגביל ניתן
: [Authorize]
●actionל הגישה תותר אז logged in כבר והמשתמש במידה
●action יוחזר הוא אז תקינה בצורה יכנס הוא משם אם .login למסך יועבר הוא אז logged in אינו והמשתמש במידה
להיכנס ניסה אליה
: לממש אפשר
●actionה ברמת
●(במחלקה ים - action ה לכל שייושם )כך controllerה ברמת
●הוספת באמצעות RegisterGlobalFilters דרך האפליקציה ברמת
filters.Add(new AuthorizeAttribute());
login עשה לא אם גם actionל גישה מאפשר [AllowAnonymous] בשם Attribute
natankrasney@gmail.com
8
עם בית בדף לדוגמא לשימוש נוח
רשום משתמש שרק שרוצים לינק
.אליו להיכנס יוכל](https://image.slidesharecdn.com/aspnetsecurity1972017-170727164916/85/ASP-net-Security-8-320.jpg)
![Role באמצעות logged in למשתמש גישה הגבלת
: הבאה בצורה להכניס אפשר roleה את
AspNetRoles לטבלה ומכניסים admin לדוגמא role של שם מגדירים קודם
משתמש של id לבין הזה role של id ה בין AspNetUserRoles בטבלה מקשרים כך אחר
AspNetUsers בטבלה שמופיע
דרכים בשתי להשתמש ניתן בקוד כך אחר
● User.IsInRole(“admin”)
● [Authorize(Roles=”admin”)]
natankrasney@gmail.com
15
בקוד תנאי בתוך
View או controllerב
action של attributeכ
controllerב
את לשים כדאי
קובץ בתוך admin
constants](https://image.slidesharecdn.com/aspnetsecurity1972017-170727164916/85/ASP-net-Security-15-320.jpg)
ASP.net Security
- 2. אתר אבטחת : הבאים המאפיינים את כוללת אתר אבטחת Authentication Authorization Confidentiality natankrasney@gmail.com 2
- 3. Authentication .וססמה משתמש שם באמצעות לדוגמא המשתמש זהות את מוודאים בו תהליך זהו : עבור לדוגמא חשוב התהליך ●שלה באתר רשומים שנהיה בלי בה לקנות ניתן שלא amazon לדוגמא אינטרנטית חנות ●facebookב חשבון לפתוח מנת על ●gmailב מייל חשבון לקבל מנת על ●ועוד ASP.Net ב להשתמש ואפשר authenticationב לתמיכה עצמאית מערכת לממש אפשר כאן לדוגמא ראו Identity natankrasney@gmail.com 3
- 4. ASP.Net Identity עם פרויקט יצירת Individual User Accounts מסוג Authentication ובחירת (empty )לא MVC פרויקט פתיחת .גוגל , פייסבוק באמצעות לדוגמא social login וגם userpassword בעזרת גישה מאפשר וזה .מהמשתמש קוד של צורך ללא login , logout , registerל אפשרות נותן שנוצר הפרויקט natankrasney@gmail.com 4
- 5. ASP.Net Identity של ארכיטקטורה : החשובות המחלקות natankrasney@gmail.com 5 מעל ממומש Storage בעזרת SQL Server EntityFramework שירותים ”“שחקנים IdentityRole
- 6. ModelViewController - ASP.Net Identity : אוטמטית יוצר Identity ●AccountController , ManageController ●View ●Model natankrasney@gmail.com 6
- 8. logged in שאינו למשתמש גישה הגבלת בשם attribute בעזרת נעשה וזה Login שעשה למשתמש רק (Viewל גישה )ודרכה actionל גישה להגביל ניתן : [Authorize] ●actionל הגישה תותר אז logged in כבר והמשתמש במידה ●action יוחזר הוא אז תקינה בצורה יכנס הוא משם אם .login למסך יועבר הוא אז logged in אינו והמשתמש במידה להיכנס ניסה אליה : לממש אפשר ●actionה ברמת ●(במחלקה ים - action ה לכל שייושם )כך controllerה ברמת ●הוספת באמצעות RegisterGlobalFilters דרך האפליקציה ברמת filters.Add(new AuthorizeAttribute()); login עשה לא אם גם actionל גישה מאפשר [AllowAnonymous] בשם Attribute natankrasney@gmail.com 8 עם בית בדף לדוגמא לשימוש נוח רשום משתמש שרק שרוצים לינק .אליו להיכנס יוכל
- 9. OAuth . ועוד google , linkedin, facebook של בשמוש authentication פרוטוקול הוא OAuth login לעשות למשתמשים אפשר OAuth OAuth - Open Authorization הפעולות את מחייבת שלו facebookה חשבון באמצעות שלנו לאתר Login לעשות למשתמש אפשרות מתן : כמפתחים שלנו ●facebookב כאפליקציה שלנו האתר רישום ●בעזרתו user name ,password מעיין זה .שלנו האתר עבור מפייסבוק secret ו api key קבלת פייסבוק מול יתקשר שלנו האתר ●דרך שלנו לאתר login לעשות ירצה שמשתמש ברגע api key , secretה את לפייסבוק יעביר האתר שלנו באתר facebook כפתור ●httpsב נשתמש facebookל שלנו האתר בין התקשורת עת להגן מנת על natankrasney@gmail.com 9
- 10. OAuth ראשון שלב שלנו האתר דרך facebookל המשתמש של login לאחר facebookל פונה שלנו האתר natankrasney@gmail.com 10 Our Web Site
- 11. OAuth שני שלב .אומתה שלו שהזהות כך בפייסבוק חשבון באמת יש שלמשתמש מוכיח שחוזר tokenה אצלנו אותו שנרשום כך לאתר המשתמש את מחזירה facebook natankrasney@gmail.com 11 Our Web Site
- 12. Social Login לאתר Login לבצע מנת על גוגל , לינקדאין , טוויטר , פייסבוק בחשבונות שימוש כאן ראו מ הפרויקט את לשדרג חשוב אבל מורכב אינו לפייסבוק Login Microsoft.Owin.Security.Facebook version 3.0.1 באמצעות Install-Package Microsoft.Owin.Security.Facebook דרך Tools->NuGet Package Manager->Package Manager Console natankrasney@gmail.com 12
- 13. email confirmation בעזרת אתר אבטחת שיפור email confirmation לעשות איך שמסביר מאמר כאן ראה : הערה ●: 6.3.4 גרסה לקחת וצריך נכון אינו בלינק שמופיע SendGrid Install-Package SendGrid -Version 6.3.4 email ליישם מנת על .ReadMeה את לקרוא צריך אבל כאן עובדת גרסה יש השקף בראש בלינק שמוצג התהליך את לבצע צריך חדש בפרויקטconfirmation natankrasney@gmail.com 13
- 14. Authorization .בצועם ונאכף למשתמשים (Roles) - תפקידים מוגדרים בו תהליך משתמשים עבור תפקידים מספר להגדיר אפשר אינטרנטיות חנויות רשת של באתר לדוגמא : רשומים ●ברשימת לצפות יכול לא אבל בעבר קנה שהוא במוצרים לצפות יכול : פשוט משתמש מוצרים להוסיף/לערוך/למחוק יכול ולא המשתמשים ●חנות מנהל להגדיר יכול לא אבל מוצרים להוסיף/לערוך/למחוק לדוגמא יכול - חנות מנהל ●חנות מנהל להגדיר בפרט הכל לבצע יכול - רשת מנהל natankrasney@gmail.com 14
- 15. Role באמצעות logged in למשתמש גישה הגבלת : הבאה בצורה להכניס אפשר roleה את AspNetRoles לטבלה ומכניסים admin לדוגמא role של שם מגדירים קודם משתמש של id לבין הזה role של id ה בין AspNetUserRoles בטבלה מקשרים כך אחר AspNetUsers בטבלה שמופיע דרכים בשתי להשתמש ניתן בקוד כך אחר ● User.IsInRole(“admin”) ● [Authorize(Roles=”admin”)] natankrasney@gmail.com 15 בקוד תנאי בתוך View או controllerב action של attributeכ controllerב את לשים כדאי קובץ בתוך admin constants
- 16. Confidentiality לגרום שיוכל hacker לדוגמא זדוניות לידיים יגיע שלא כך המידע על לשמור חשוב הזו בקטגוריה .המידע בעזרת נזק הבאים באמצעים לדוגמא נוקטים ולכן ●לדוגמא ראו http במקום httpsב שימוש - לשרת הלקוח בין שעובר המידע הצפנת ●הססמא את להסתיר מנת על hashingב משתמש Identity .בשרת הססמאות של הצפנה natankrasney@gmail.com 16
- 17. בפרויקט SSLב שימוש .לשרת הלקוח בין שעובר המידע את מצפין httpב ולא httpsב שימוש (Setting up SSL in the Project על לחלק )גלול כאן בתיעוד מופיע טוב הסבר לפונקציה להוסיף יש httpsב רק לאתר לגשת אפשר שיהיה לוודא מנת על הבאה השורה את RegisterGlobalFilters filters.Add(new RequireHttpsAttribute()); natankrasney@gmail.com 17