Seguridad en webconfig: authentication y authorization

Estoy intentando darle seguridad a la web

En la web se autentican cualquier usuario que este en la base de datos.

Pero hay un directorio llamado Administracion que solo quiero tenga acceso triqui a las paginas que haya dentro:

tengo lo siguiente en el webconfig


<authentication mode="Forms">

<forms loginUrl="Default.aspx">
<credentials passwordFormat="SHA1">
<user name="Triqui" password="PgDedAFSs50vAt6C766=/ARR"/>
</credentials>
</forms>
</authentication>



<location path="Administracion">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
</location>

No se por donde me pega el aire...

por ejemplo:

1.-Si pongo deny users="*" pueden entrar SOLO los que se hayan autenticado, pero eso no quiero, solo quiero que entre triqui.

2.-Si pongo deny users="?" no me entra nadie(ni registrados ni no, ni triqui)

Alguna idea?

Esto te pude ayudar

http://geekswithblogs.net/jaullo/arc...n-asp.net.aspx

Gracias jaullo, he estado revisandolo, pero entre que es vb y no conozco los conceptos se me está haciendo complicado.

He visto que lo realizas dinamicamente, yo solo quiero saber como se haría de forma estática sobre el webconfig...

Es sencillo, por cualquier cosa te dejo un convertidor de código:
http://converter.telerik.com/

En cuanto a si lo quieres hacer estatico, lo mas sencillo sería que agregues un archivo web.config en la carpeta "Administracion" y colocale lo siguiente:


Esto debería ser más que suficiente.

Saludos,

Estoy intentando hacerlo con los roles, llevo todo el dia con lo mismo y nada.

Cuando me logeo en la aplicacion me creo el usuario.

MembershipCreateStatus status;
Membership.CreateUser("Triqui, "secret_", "[email protected]", "dog", "rover", true, out status);

//Ya tengo creados los roles Administrador y Usuario, y asigno cada usuario a su rol.
if (usuario == "Triqui")
{
Roles.RemoveUserFromRole(usuario, "Administrator");
Roles.AddUserToRole(usuario, "Administrator");

}
else
{
Roles.RemoveUserFromRole(usuario, "Usuario");
Roles.AddUserToRole(usuario, "Usuario");
}

tengo dos webconfig,

1.-el principal en el path="/"


<authentication mode="Forms" />


<location path="Administracion">
<system.web>
<authorization>
<allow users="*" />
</authorization>
</system.web>
</location>



2.- y el que esta dento de la carpeta "Administrador":

<?xml version="1.0" encoding="utf-8"?>
<configuration>

<system.web>
<authorization>
<allow roles="Administrator" />
<deny roles="Usuario" />
<deny users="?" />
</authorization>
</system.web>
</configuration>

El problema que veo que no me hace ni caso a los roles, es decir si quito
"<deny users="?" />" me deja entrar y si lo pongo no me deja, es como si no me hiciera caso a los roles...muy extraño...

Tengo creada una aplicacion sencilla en la cual intento simular esto, si me puede ayudar no entiendo que puede pasar.

Tambien he visto por ahi que en el webconfig principal usan esto:

<roleManager enabled="true">
<providers>
<clear/>
<add name="AspNetSqlRoleProvider" connectionStringName="LocalSqlServer1"
applicationName="/" type="System.Web.Security.SqlRoleProvider, System.Web,
Version=2.0.0.0, Culture=neutral, PublicKeyToken=b03f5f7f11d50a3a"/>
</providers>
</roleManager>

es importante?

Tambien decir que es un sitio web y no una aplicacion web

gracias

Si estas trabajano con los roles, me imagino que estas usando el MemberShip Provider de asp.net que por si solo te maneja todo este tema de usuarios y roles, por lo tanto el código que colocas no sería necesario. Nada mas configuralo desde la opcion Sitio Web/configuracion de asp.net.

http://www.shiningstar.net/ASPNet_Ar...pProvider.aspx

Gracias por tu ayuda jaullo, lo intente y nada.

Al final encontre un código de codeproject que me sirvio mucho y ya he podido implementar la maldita seguridad de los archivos.

Lo pongo por si alguien le ayuda, es muy sencillo.

http://www.codeproject.com/KB/web-se...orization.aspx
ciao