Πρώτα Βήματα - Web Development

Απ: Authentication (login and what's next ?)

manosB — Thu, 07 May 2009 16:32:23 GMT

Επειδή και εγώ πήρα αυτό το δρόμο αρχικά όταν άρχισα να δουλεύω με asp.net σου προτείνω να το ξανασκεφτείς και να πας στην έτοιμη λύση που σου δίνει η asp.net.

Πρώτα από όλα είναι το θέμα του Security. Το membership στα δίνει όλα έτοιμα. Εσύ έτσι όπως το έχεις υλοποιήσει είναι διάτρητο. Όποιος θέλει με ένα απλό listener κλέβει τα credential Που έχεις βάλει.
Μόνο για αυτό το λόγο πρέπει να το ξανασκεφτείς!!!!!

Επίσης χρησιμοποιώντας το membership και τα αντίστοιχα controls γλυτώνεις από ....κιλά κώδικα.

Όλα αυτά στα λέω από προσωπική εμπειρία....

Απ: Authentication (login and what's next ?)

xakou — Tue, 05 May 2009 00:22:01 GMT

Παναγιώτης Καναβός:

Θα μπορούν οι χρήστες να κάνουν reset το password? Θα υπάρχει κάποιο secret question? Πόσες φορές επιτρέπεται να δοκιμάσει κανείς να κάνει login πριν τον κλειδώσεις? Θα εγκρίνονται αυτόματα οι νέοι χρήστες ή πρέπει ο administrator να τους εγκρίνει? Πότε μπήκε ο χρήστης τελευταία φορά?

Παναγιώτη αυτά δεν μου χρειάζονται και δεν θέλω να τα βλέπουν οι χρήστες, γιαυτό πάω δεν πάω στην "έτοιμη" λύση.

Απ: Authentication (login and what's next ?)

Παναγιώτης Καναβός — Mon, 04 May 2009 23:01:01 GMT

Μάλλον θα πρέπει να το ξανασκεφτείς. Καταρχήν, όσα πεδία δεν χρησιμοποιείς δεν υπάρχει λόγος να σε απασχολήσουν. Επιπλέον, τα περισσότερα από αυτά δεν τα διαχειρίζεσαι εσύ αλλά το ASP.NET μέσω του API και των control του. Μπορεί για παράδειγμα να φαίνεται ότι ο πίνακας Membership έχει πολλά πεδία, εσύ όμως δεν χρειάζεται να τα πειράξεις.
Επιπλέον, τα πεδία αυτά τελικά χρειάζονται, αν σκεφτείς μόνο πως δουλεύει η διαχείριση χρηστών σε ένα τυπικό site. Θα μπορούν οι χρήστες να κάνουν reset το password? Θα υπάρχει κάποιο secret question? Πόσες φορές επιτρέπεται να δοκιμάσει κανείς να κάνει login πριν τον κλειδώσεις? Θα εγκρίνονται αυτόματα οι νέοι χρήστες ή πρέπει ο administrator να τους εγκρίνει? Πότε μπήκε ο χρήστης τελευταία φορά?

Αντί να απορρίψεις μία από τις βασικές διευκολύνσεις του ASP.NET, η οποία για εσένα είναι σχεδόν black box και δεν σε επιβαρύνει, δοκίμασε πρώτα να την καταλάβεις. Εξάλλου, όλο το μοντέλο του authentication, authorization, profiling βασίζεται σε providers οι οποίοι στο τέλος θα πρέπει να υλοποιήσουν την ίδια λειτουργικότητα με αυτή που παρέχεται από τη βάση aspnetdb. Είναι πολύ πιθανό να ξεκινήσεις να φτιάξεις τη δική σου υλοποίηση μόνο για να διαπιστώσεις μετά από αρκετούς μήνες ότι έκανες κάτι παρόμοιο με το ήδη έτοιμο.

Απ: Authentication (login and what's next ?)

xakou — Mon, 04 May 2009 22:35:41 GMT

Το VWD το χρησιμοποιώ σχετικά λίγο καιρό, 2-3 μήνες.

Είδα το ASP.NET Configuration και δεν μου άρεσε και δεν με βόλεψε. Είχε πολλούς πίνακες και πολλά πεδία το οποία δεν θα τα χρησιμοποιήσω ούτε τώρα, αλλά ούτε και στο μέλλον.

Απ: Authentication (login and what's next ?)

George J. Capnias — Mon, 04 May 2009 03:14:22 GMT

xakou:

στο site που κάνω έφτασα στο βήμα του authentication. Είδα τις αυτοματοποιημένες διαδικασίες που έχει το Visual Web Developer 08, ASP.NET Configuration, αλλά δεν με βόλεψαν. Κατασκεύαζαν μια μεγάλη Β.Δ. με πολλά πεδία τα οποία δεν τα ήθελα....

Έτσι, στη δική μου ΒΔ έφτιαξα ένα επιπλέον table που το ονόμασα users, έβαλα τα πεδία που ήθελα να έχει (userid, name, surname, user, password, phone) και ξεκίνησα από authentication από εκεί.

Θα ήθελα να μου επιτρέψεις να κάνω μια μη σχετική με το πρόβλημα σου ερώτηση: Πόσο καιρό χρησιμοποιείς το Visual Web Developer και πόσο χρόνο χρόνο προγραμματίζεις γενικότερα με το ASP.NET; Επειδή δεν είναι καθημερινό, να βλέπεις κάποιον να παίρνει μια τέτοια απόφαση και να έχει λόγο που να δικαιολογεί την απόφασή του αυτή... Το σύνηθες είναι να αγνοεί κάποιος ότι υπάρχει μια δυνατότητα, και να προσπαθεί να το φτιάξει από μόνος του.

George J.

Απ: Authentication (login and what's next ?)

Τάσκος Γιώργος — Mon, 04 May 2009 02:47:42 GMT

Αν έκανες τις σχετικές αναφορές και αφού δεν έχεις πρόβλημα φένεται σωστό.

Γιατί να βλέπεις το GridView σύμφωνα με το UserId αφού ήδη έχεις, και μπορείς να χρησιμοποιήσεις το UserName του

authenticated user από όπου θέλεις με την User.Identity.Name; property?

Αν πάλι πρέπει για δικούς σου λόγους, κάνε μια Session[userId], και φωναζέ το όπου χρειάζεσαι.

Authentication (login and what's next ?)

xakou — Mon, 04 May 2009 02:30:46 GMT

Καλησπέρα,

στο site που κάνω έφτασα στο βήμα του authentication. Είδα τις αυτοματοποιημένες διαδικασίες που έχει το Visual Web Developer 08, ASP.NET Configuration, αλλά δεν με βόλεψαν. Κατασκεύαζαν μια μεγάλη Β.Δ. με πολλά πεδία τα οποία δεν τα ήθελα....

Έτσι, στη δική μου ΒΔ έφτιαξα ένα επιπλέον table που το ονόμασα users, έβαλα τα πεδία που ήθελα να έχει (userid, name, surname, user, password, phone) και ξεκίνησα από authentication από εκεί.

Protected Sub Button1_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles Button1.Click

Dim DBConn As New SqlConnection("Data Source=.\SQLEXPRESS;AttachDbFilename=|DataDirectory|\database.mdf;Integrated Security=True;User Instance=True;")

Dim DBCmd As New SqlCommand

DBConn.Open()

'FIND

Dim strSQLCommandUser As String = "SELECT user, pass FROM users WHERE user='" & UserName.Text & "' AND pass='" & Password.Text & "'"

Dim findisUser As New SqlCommand(strSQLCommandUser, DBConn)

Dim returnisUser As String = CType(findisUser.ExecuteScalar(), String)

'is OK?

If returnisUser = "" Then

InvalidCredentialsMessage.Visible = True

ElseIf returnisDealer = UserName.Text Then

InvalidCredentialsMessage.Visible = False

FormsAuthentication.RedirectFromLoginPage(UserName.Text, RememberMe.Checked) ' im NOT sure!!!

End If

'close DB

DBCmd.Dispose()

DBConn.Close()

DBConn = Nothing

End Sub

Νομίζω πως το παραπάνω είναι σωστό.

Στη συνέχεια θέλω να πηγαίνω σε μια νέα σελίδα π.χ. Auth-user.aspx που μέσα να έχει Gridview και να δείχνει τις καταχωρήσεις που υπάρχουν στη ΒΔ σύμφωνα με το userID του χρήστη που έχει κάνει Login.

Εδώ θέλω τη βοήθειά σας....