[ASP.NET MVC] Comment restreindre l'invocation des Controlleurs et l'accès aux pages?

**Leelith** · 04/03/2010, 14h50

Hello,

Je dois mettre en place l'authentification sur mon site. Pour cela, je dispose d'une table "utilisateurs" dans laquel j'insère un utilisateur lorsque celui-ci remplis le formulaire de création.

J'ai cherché un peu sur internet, mais je n'ai pas trouvé d'explication potable pour l'utilisation des filtres d'authorisation.

Est-ce que quelqu'un pourrait m'expliquer le principe de fonctionnement? Comment est-ce qu'on lie les authorisations, que se soit à un utilisateur ou à un rôle, à notre application? De plus, comment savoir quand un utilisateurs est de type, utilisateur simple, admin, super-user, ou autre ?

Ca fait beaucoup de questions, mais même sur le bouquin ASP.NET MVC for professionnals je n'ai pas trouvé d'explication parlante : /

Merci bien pour votre aide et bonne journée,

L.

**Leelith** · 05/03/2010, 11h06

Personne n'a des ressources ou explications là dessus?

**Arthis** · 05/03/2010, 13h33

L'autorisation MVC.net est la même que l'asp.net si je ne m'abuse. Tu trouvera surement plus de littérature sur ce sujet là.

**Leelith** · 05/03/2010, 14h25

Je n'ai aucune expérience dans la gestion des accès avec asp.net (que se soit avec MVC ou en simple webforms). Est-ce que tu aurais quelques liens/references/tuto à me proposer par ou commencer?

Si tu as également des conseils et explications sur comment ça marche avec MVC, je suis preneur de toutes informations : )

**cybermaxs** · 05/03/2010, 14h28

Salut,

je pense que ce lien t'aidera http://dotnet.developpez.com/mvc/mvc...ication-forms/

**Immobilis** · 07/03/2010, 14h53

Salut,

C'est interessant, mais je vois pas trop comment on peut exploiter un contrôle d'accès sur des noms d'utilisateurs dans un milieu de production. L'utilisation d'attributs ne me parait pas non plus très souple.

Malgré tout l'usage des rôles me parait le plus approprié.

A+

**Leelith** · 07/03/2010, 23h18

Envoyé par Immobilis

Salut,

C'est interessant, mais je vois pas trop comment on peut exploiter un contrôle d'accès sur des noms d'utilisateurs dans un milieu de production. L'utilisation d'attributs ne me parait pas non plus très souple.

Malgré tout l'usage des rôles me parait le plus approprié.

A+

Je ne suis pas sur d'avoir tout compris O_o

**Philippe Vialatte** · 08/03/2010, 09h01

Envoyé par Immobilis

C'est interessant, mais je vois pas trop comment on peut exploiter un contrôle d'accès sur des noms d'utilisateurs dans un milieu de production.
......
Malgré tout l'usage des rôles me parait le plus approprié.

C'est sur que sur une "vraie" application, on va passer seulement par les roles, lister les utilisateurs autorisés, c'est un peu chercher les baffes

L'utilisation d'attributs ne me parait pas non plus très souple.

A l'usage, ca marche plutot bien pour des "petits" sites, c'est sur que ca manque de souplesse post-déploiement.

**Leelith** · 08/03/2010, 09h19

Euh, je suis pas sur de vous suivre.

Je n'ai pas d'expérience d'implémentation avec asp.net pour ce qui concerne l'implémentation, mais pour moi c'est la vérification qu'un utilisateur appartient bien à un rôle avant de lui afficher la page ou non.

Est-ce bien de ça dont vous parlez?

Sinon si vous avez des liens sur comment implémenter l'authentification je suis preneur

J'ai consulté le lien sur la sécurité dans mvc plus haut, mais j'ai eu quelques soucis avec la partie concernant la BDD : /

**cybermaxs** · 08/03/2010, 10h02

L'authentification ASPNET repose sur la notion de providers. Deux sont disponible nativement : Windows et Forms. Cela signifie que si tu veux connecter ton applis à un intranet, tu va utiliser Windows. Si tu veux une authentification par formulaires, c'est à dire dans lequel les utilisateurs peuvent créer leurs comptes via une formulaire, il faut utiliser cette méthode. Pour cela, Microsoft a mis à dispo, un script sql de création des tables utilisées par ce provider. Une fois la structure créée, et ton appli configurée (web.config), tout fonctionnera de manière autonome.

Dans le cadre de l'approche MVC, il est possible vu le lien de faire correspondre les droits avec les controllers comme sur le lien.

Ensuite, il est toujours possible et faire son propre provider pour l'authentification, si par exemple, tu veux stocker les users dans des fichiers xml...

**Leelith** · 08/03/2010, 13h52

En fait, j'ai une base donnée que j'utilise. Du coup, vu que microsoft fournit les scripts pour importer et créer les tables dans ma base. Ca veut aussi dire qu'ensuite je peux les créers directement en allant sur ces tables?

Je suppose que c'est également possible d'établir des relations entre ces tables et mes tables à moi, ceci afin de d'avoir les données qui concerne uniquement l'utilisateur sur lequel j'effectue un filtre lorsque j'intéroge ma base de donnée. Par exemple en faisant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Select * from myTable where myTable.id = User.id

Edit: les scripts sont dans le repertoire indiqué dans le tutoriel je suppose ?

**cybermaxs** · 08/03/2010, 14h12

Dans la section Configurer l'Authentification du tutoriel tu trouvera la procédure. Le seul problème du tutoriel pour toi, c'est qu'il utilise une instance ASPNETDB.mdf via SQL express. Dans ton cas, il faudra adapter le serveur à utiliser avec le tien.

Pour les jointures, cela marchera bien.

Dernier hic, la création des utilisateurs par toi même. Le seul moyen (a vérifier) que je connaisse est d'utiliser le provider, et donc de passer via une page ASPNET. En effet, le provider va par exemple crypter ou hasher les mdps (par défaut) ; ce qui rends difficile de faire cela ailleurs. Il est tout de même possible de piloter le provider pour créer une liste de login/mdp.

**Philippe Vialatte** · 08/03/2010, 14h45

Sinon, tu peux aussi développer un jeu de classe qui implémente IPrincipal, IIdentity et compagnie, et refaire ton système...

J'ai fait ca récemment, en cherchant à droite à gauche, tu devrais pouvoir trouver les données suffisantes...ou sinon, tu attends deux mois que j'aie le temps d'écrire un article

**Leelith** · 08/03/2010, 15h36

Envoyé par cybermaxs

Dans la section Configurer l'Authentification du tutoriel tu trouvera la procédure. Le seul problème du tutoriel pour toi, c'est qu'il utilise une instance ASPNETDB.mdf via SQL express. Dans ton cas, il faudra adapter le serveur à utiliser avec le tien.

Pour les jointures, cela marchera bien.

Dernier hic, la création des utilisateurs par toi même. Le seul moyen (a vérifier) que je connaisse est d'utiliser le provider, et donc de passer via une page ASPNET. En effet, le provider va par exemple crypter ou hasher les mdps (par défaut) ; ce qui rends difficile de faire cela ailleurs. Il est tout de même possible de piloter le provider pour créer une liste de login/mdp.

Pour l'instance du serveur, si j'ai bien compris c'est dans le web.config qu'on peut changer ça non?

Pour créer les utilisateurs, je pense que ca doit être possible de les créers autrement ? Oo Sinon les pages de créations d'utilisateurs automatisée et tout, ca serait problématique si ça ne fonctionnait pas je pense

Envoyé par Philippe Vialatte

Sinon, tu peux aussi développer un jeu de classe qui implémente IPrincipal, IIdentity et compagnie, et refaire ton système...

J'ai fait ca récemment, en cherchant à droite à gauche, tu devrais pouvoir trouver les données suffisantes...ou sinon, tu attends deux mois que j'aie le temps d'écrire un article

Si tu l'écris tout de suite je peux attendre quelques jours ^^ sinon 2 mois c'est trop long : /

**Immobilis** · 08/03/2010, 19h08

La question de la sécurité repose sur une fonctionnalité simple: identifiant/mot de passe, authorisé oui/non. C'est l'implémentation qui varie (base de donnée, fichier de config, etc.).
En .Net on peut (ce n'est pas obligatoire) utiliser les MemberShip quelque soit le moyen de stocker l'information. Cela permet d'utiliser des objets standards du FrameWork. De la lecture ici: http://msdn.microsoft.com/en-us/library/91f66yxt.aspx.

C'est pour de l'intranet?

A+

**Leelith** · 08/03/2010, 19h52

Envoyé par Immobilis

La question de la sécurité repose sur une fonctionnalité simple: identifiant/mot de passe, authorisé oui/non. C'est l'implémentation qui varie (base de donnée, fichier de config, etc.).
En .Net on peut (ce n'est pas obligatoire) utiliser les MemberShip quelque soit le moyen de stocker l'information. Cela permet d'utiliser des objets standards du FrameWork. De la lecture ici: http://msdn.microsoft.com/en-us/library/91f66yxt.aspx.

C'est pour de l'intranet?

A+

Pour de l'internet. Merci bien pour le lien, je vais lire un peu tout ça

Sinon , j'ai un petit soucis avec SQL Server fournit avec VSExpress/Web Plateform installer.

Je n'arrive pas à accéder à ma base de donnée de mon projet pour je ne sais quelle raison. J'ai essayé d'installer une nouvelle base aussi, mais impossible d'y arriver : (

Que faut-il avoir pour que SQL Server fonctionne correctement? : /

EDIT:
Je crois que j'ai un problème avec mon serveur SQL. Impossible de me connecter à mon serveur depuis SQL Serveur Management Studio quand je vais chercher le .mdf dans mon projet, il me dit qu'ily a une erreur dans le fichier (alors que dans VS j'y est bien accès) :/

**Leelith** · 11/03/2010, 07h51

Personne n'a eu de problème similaire ? :/

**Arthis** · 11/03/2010, 08h23

C'Est plus une question pour un forum sql serveur je pense...

**Leelith** · 11/03/2010, 11h27

J'ai posé la question ici : http://www.developpez.net/forums/d88...le-dy-acceder/

Si quelqu'un connais une autre méthode d'importer les tables nécessaire pour l'utilisations des rôles et autres, je suis preneur ; )

[ASP.NET MVC] Comment restreindre l'invocation des Controlleurs et l'accès aux pages?

ASP.NET

Discussions similaires

Partager

Partager