Μπορείς και μέσα από win forms να χρησιμοποιήσεις τον μηχανισμό του ASP.NET. Δες τα Client Application Services

Από εκεί και πέρα, καθώς το security είναι ευαίσθητο θέμα, αν δεν θες να παίξεις με Client Application Services καλύτερα να χρησιμοποιήσεις κάποιον τυποποιημένο κώδικα όπως το Security Application Block 

---

Vir prudens non contra ventum mingit

Αν διευκρινήσεις τι ακριβώς θέλεις να κάνει ίσως μπορέσω να σε βοηθήσω. Θέλεις να κάνεις authedication δικούς σου χρήστης που είναι σε κάποιο πίνακα σε μια βάση δεδομένων ή θέλεις να κάνεις authedication για χρήστες ενός Domain Controllor?

 

---

breadcrumbs.gr

Το να βρεις ποιός είναι ο χρήστης που εκτελεί μία εφαρμογή είναι πολύ εύκολο, καθώς κάθε εφαρμογή Windows τρέχει ως ο χρήστης που την ξεκίνησε. Έτσι μπορείς να πάρεις τον χρήστη π.χ. από το WindowsIdentity.GetCurrent(). Δεν υπάρχει κανένας λόγος να αποθηκεύσεις ονόματα και passwords σε βάση ή οπουδήποτε αλλού.

Αυτό που χρειάζεσαι στην πραγματικότητα είναι το Authorization, δήλαδή, ο χρήστης ΑΒΓ έχει δικαίωμα να εκτελέσει την εφαρμογή? Έχει δικαίωμα να εκτελέσει τη λειτουργία ΧΨΩ? Ένας τρόπος να το κάνεις αυτό, τον οποίο αγαπάνε και οι administrators, είναι να ορίσεις κάποια Windows Groups για τα διαφορετικά επίπεδα πρόσβασης στην εφαρμογή. Για παράδειγμα, μπορείς να ορίσεις τα group MyApp Administrators, MyApp Simple Users, MyApp Power Users και να ελέγξεις στον κώδικα αν ο χρήστης ανήκει στο ρόλο αυτό, με την WindowsPrincipal.IsInRole().

Οι administrators αγαπάνε αυτό τον τρόπο καθώς μπορούν να ελέγξουν τις προσβάσεις των χρηστών από ένα και μόνο σημείο αντί να πρέπει να πάνε σε κάθε εφαρμογή και να φτιάξουν ξεχωριστά permissions, χρησιμοποιώντας το UI της κάθε εφαρμογής. Άσε που μπορούν να φτιάξουν και scripts για να περνάνε τα κατάλληλα δικαιώματα σε νέους χρήστες εύκολα και γρήγορα.

 

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos

Μάλιστα, μάλιστα σας ευχαριστώ για όλες τις πληροφορίες. Τώρα θα σας αναπτύξω την αρχική μου σκέψη που νόμιζα ότι είχατε καταλάβει με το αρχικό μου post. Έστω ότι έχω 6 χρήστες που κάθε φορά που ξεκινάει η εφαρμογή θα πρέπει να έρχονται αντιμέτωποι με μία login screen. Και έστω ότι τα 4/6 των χρηστών είναι απλοί χρήστες και οι 2 άλλοι είναι admins. Εκεί είναι προτιμότερο ποια λογική να ακολουθήσουμε; Η λογική που πρότεινε ο κύριος Καναβός είναι πολύ ωραία και δεν την ήξερα. Αλλά αν έστω, λέω έστω, καθαρά ακαδημαϊκά, πρέπει να το κάνεις με βάση δεδομένων, username, password, σαν την asp.net κτλ εκεί προτείνεται η λύση του Keleman;;

Ευχαριστώ!

Γιατί να το κάνεις σε βάση, και γιατί να εμφανίσεις login screen? Αν δεν υπάρχει ουσιαστικός λόγος, θα πρέπει να το αποφύγεις.

Μπορώ να σκεφτώ τρεις λόγους να παρακάμψεις το windows authentication, δύο σοβαρούς και ένα όχι τόσο σοβαρό:

1. Ο όχι τόσο σοβαρός. Το δίκτυο δεν έχει domain. Όμως δεν υπάρχει  εταιρικό δίκτυο χωρίς domain. Workgroups συναντάει κανείς μόνο σε δικτυάκα των 3-4 μηχανών ή στο σπίτι.
2. Ο σοβαρός. Οι χρήστες δεν έχουν δικά τους windows accounts αλλά μπαίνουν με το username/password του "μηχανήματος". Κοινός, γίνεται αχταρμάς. Σε αυτή την περίπτωση είσαι αναγκασμένος να μπ@$7@rέψεις την εφαρμογή σου για να αντιμετωπίσεις το μπάχαλο που έκανε κάποιος admin πριν από ΧΧΧ χρόνια.
3. Ο άλλος σοβαρός. Υπάρχει ανάγκη οι χρήστες να μπορούν να χρησιμοποιήσουν άμεσα οποιοδήποτε μηχάνημα με τα δικά τους credentials.
   Αυτό αντιμετωπίζεται με δύο τρόπους. Είτε χρησιμοποιείς ένα εξωτερικό μηχανισμό όπως αυτούς που περιγράφει ο Kelman, ή
   μπορείς να κάνεις Impersonate ένα χρήστη με την .... Impersonate. Σε αυτή την περίπτωση όμως ο κώδικας σου πρέπει να τρέχει με elevated priviledges, κάτι που ίσως να μην είναι δυνατόν.

Σε κάθε περίπτωση, έχει νόημα να χρησιμοποιήσεις τα .NET services για δύο λόγους:

1. Παρέχουν επιπλέον δυνατότητες πέρα από το απλό authentication/authorization, όπως user profiles
2. Παρέχουν ένα τρόπο να κάνεις το authentication, authorization ανεξάρτητο από την πραγματική υλοποίηση. Για παράδειγμα, αντί να χρησιμοποιήσεις βάση, μπορείς να χρησιμοποιήσεις το Active Directory Application Mode για να υλοποιήσεις το δικό σου μίνι-AD για την εφαρμογή σου. Ή να χρησιμοποιήσεις ένα LDAP server αν πχ. η εταιρεία χρησιμοποιεί κάποιο single sign-on προϊόν, και θέλεις να χρησιμοποιήσεις τα κοινά accounts και στην εφαρμογή σου.

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos

Το τελευταίο post ήταν και το πιο διαφωτιστικό. Και ναι η σκέψη μου, που νόμιζα ο μπούφος ότι την είχα αναφέρει, ήταν για εφαρμογή που θα είναι εγκατεστημένη σε 1 πισί, θα κάθονται όλοι οι χρήστες στο ίδιο pc αλλά ο καθένας θα πρέπει να έρθει αντιμέτωπος με κάποιο authentication / authorization. 

Οι χρήστες αυτοί δεν θα έχουν δικά τους login στο μηχάνημα?

---

Παναγιώτης Καναβός, Freelancer
Twitter: http://www.twitter.com/pkanavos

Θα μπαίνει στα XP κατευθείαν. Δηλαδή ένας λογαριασμός για τα windows,  administrator χωρίς password