Consulta de seguridad (Restringir paginas)

chcma · #1 (**permalink**) 24/01/2009, 13:01

Buenas foreros !!!

Vereis, tengo varias paginas en un web site, donde quiero que algunas puedan acceder todos los usuarios y otras en las que pida el login.

En el Web.Config tengo lo siguiente:

Código:

    <authentication mode="Forms">
      <forms loginUrl="~/Autenticacion/autenticacion.aspx" />
    </authentication>
    <authorization>
      <allow users="clavijo, carlos" />
      <deny users="?"/>
    </authorization>

Vale, luego tengo un Web.SiteMap donde tengo puesto las direcciones de las paginas, para usarlas desde una Master.Page:

Código:

<siteMapNode url="~/default.aspx" title="Default"  description="Pagina default">
    <siteMapNode url="~/CardSpace/Default.aspx" title="CardSpace"  description="Pagina CardSpace" />
    <siteMapNode url="~/DescargaWord/descargaWord.aspx" title="DescargaWord"  description="Pagina DescargaWord" />
</siteMapNode>

Bien, si en el Web.Config dejo lo de authorization, siempre me manda primero a la pagina de login. Y si lo quito, puedo navegar por cualquier pagina.

¿Como y donde indico que paginas pueden ver los anonimos y cuales no? Por ejemplo, quiero que puedan entrar todos a la pagina de CardSpace, pero no a la pagina de DescargaWord.

En fin, espero puedan ayudarme, desde ya, muchas gracias por todo.

Saludos.

Peterpay · #2 (**permalink**) 24/01/2009, 14:15

investiga sobre el tag location y es lo mismo solo que el location es el padre

<location path="....">
<system.web>
<authorization....>
</system.web>
</location>

chcma · #3 (**permalink**) 25/01/2009, 11:28

Buenas Peterpay, muchas gracias por contestarme amigo... estoy empezando con este tema y bueno... veo que tiene muchas funcionalidades y que sería interesante manejarlo bien, por eso estoy estudiando todo lo que puedo.

Mira, tengo una cuestión sobre este tema. Resulta que estoy intentando decir, que la página default por ejemplo puedan entrar todos y que en las demas se pida autenticación.

Para ello hice esto:

Código:

    <authentication mode="Forms">
      <forms loginUrl="~/Autenticacion/autenticacion.aspx" />      
    </authentication>
    <authorization>            
      <allow users="clavijo, carlos" />
      <deny users="?"/>
    </authorization>    

<!-- ABAJO DEL TODO DEL DOCUMENTO, JUSTO ANTES DEL TAG </configuration>  -->
  <location path="~/Default.aspx">
    <system.web>
      <authorization>
        <allow users="*"/>
      </authorization>
    </system.web>
  </location>

Sin embargo... ejecuto la página y me sigue mandando a la página de login. ¿Sabes por que puede ser amigo?

dolguin · #4 (**permalink**) 26/01/2009, 08:25

yo estoy haciendo algo parecido a lo tuyo y tengo el web.config configurado de la sgte manera:

Código:

<authentication mode="Forms">
     <forms  loginUrl ="~/LogIn.aspx" protection="All" timeout ="30" />
</authentication>
    
<authorization>
     <allow users="*"/>     
</authorization>

<location path ="Tx">
    <system.web>
      <authorization>
        <deny users="?" />
      </authorization>
    </system.web>
</location>

Con esto tengo configurado todo el sitio que sea publico, menos lo que se encuentra en la carpeta Tx, si alguien ingresa por ahí lo redirige a la pag LogIn.aspx

No se si te sirva, o es lo que querias hacer, si no puedes ir cambiando las opciones de authorization

Saludos!

chcma · #5 (**permalink**) 26/01/2009, 10:06

Ok, voy a probarlo. Gracias amigo. Ya os diré esta tarde cuando vuelva del trabajo y lo pruebe.

chcma · #6 (**permalink**) 26/01/2009, 17:48

Bueno amigos... PUES NO SE QUE COJONES ME PASA A MI.

Perdón por el tono, pero me estoy empezando a mosquear con este asunto...

Tengo lo siguiente:

Esto está dentro del System.Web principal del web.config

Código:

      <authentication mode="Forms">
        <forms loginUrl="~/Autenticacion/autenticacion.aspx" />      
      </authentication>
      <authorization>
        <allow users="*" />
      </authorization>

Y despues, al final del todo y fuera de ese System.Web meti:

Código:

  <location path="~/Autenticacion">
    <system.web>
      <authorization>
        <deny users="?"/>
      </authorization>
    </system.web>
  </location>

Sin embargo... entro en http://localhost/webPruebas/Autoriza...Autoriaza.aspx ... Y ME DEJA ENTRAR !!!

POR QUE COJONES PASA ESO ???

En fin, espero puedan ayudarme, por que me estoy volviend loco.,....

Peterpay · #7 (**permalink**) 26/01/2009, 18:15

veo q proteges Autenticacion y no Autorizacion intenta cambiando el location el path al subfolder de "~/Autorizacion" a menos que sea un directorio virtual pero mejor prueba y dinos q paso.

chcma · #8 (**permalink**) 27/01/2009, 07:50

Lo siento PeterPay, pero no entiendo bien lo que me dices... Y si, estoy en un directorio Virtual.

Mi path estático es: c:\webs\webPruebas\
Y mi alias del Directorio Virtual es: webPruebas

Ahora en el trabajo, también he probado a hacer otro proyecto y demás, y tampoco me funciona, asi que entiendo que me falta algo...

En el del trabajo tengo la siguiente configuracion:

Código:

		<authentication mode="Forms">
					  
		</authentication>
		<authorization>
			<allow users="*" />
		</authorization>
		<!--
            The <customErrors> section enables configuration 
            of what to do if/when an unhandled error occurs 
            during the execution of a request. Specifically, 
            it enables developers to configure html error pages 
            to be displayed in place of a error stack trace.
-->
		<customErrors mode="On" defaultRedirect="GenericErrorPage.htm">
			<error statusCode="403" redirect="NoAccess.htm"/>
			<error statusCode="404" redirect="FileNotFound.htm"/>
			<error statusCode="500" redirect="paginaError.htm"/>
		</customErrors>
		<trace enabled="true" pageOutput="false" requestLimit="100" writeToDiagnosticsTrace="false"/>
	</system.web>
	<location path="~/MostrarPdf" allowOverride="true">
		<system.web>
			<authorization>
				<deny users="?"/>
			</authorization>
		</system.web>  
	</location>

Y también estoy pudiendo entrar en la carpeta "MostrarPdf" y navegar por sus páginas, sin autenticarme....

Se les ocurre algo señores ? Puede ser algo del iis ? Me faltará algun attirbuto en los tags del web.config ?

chcma · #9 (**permalink**) 27/01/2009, 10:03

SIIIIIIIIIII, LA RESPUESTA EN dolguin , jajajaja

Joder, al fin !!!

La cuestión es que al poner el location, hay que poner las urls entendiendo que van simpere desde el raiz.

Es decir, si pongo esto, no me lo pilla, por uqe entiende que todo el Path es el nombre de una carpeta:

Código:

	<location path="~/MostrarPdf">
		<system.web>
			<authorization>
				<deny users="?" />
			</authorization>
		</system.web>
	</location>

Y con esto si me lo pilla

Código:

	<location path="MostrarPdf">
		<system.web>
			<authorization>
				<deny users="?" />
			</authorization>
		</system.web>
	</location>

Bueno, MUCHISIMAS GRACIAS, por vuestro tiempo amigos, de verdad. Y pido disculplas por mis tonos anteriores, pero estaba muy, muy desesperado, jejeje.

Saludos y espero a alguien le sirva.

dolguin · #10 (**permalink**) 28/01/2009, 13:37

@chcma lo bueno es que te resulto ;)