Discussion :

[DBA_OCP]

Bonjour,

Comment je peux interdire l'accès à des pages administrateur si on utilise pas le login et le pass.

Exemple :

J'ai une page admin.aspx qui contient un login et un mot de passe. Si je saisie les bons ( de ma BD Oracle ) je suis rediriger vers la page acceuiladmin.aspx ==> ceci fonctionne sans problème.

Le soucis est que si je fais directement sur la barre du lien acceuiladmin.aspx je peux accéder à la page sans soucis

Comment éviter cela ?

PS : c'est mon premier contact avec ASP, soyez indulgent SVP

[Immobilis]

Salut,

PS : c'est mon premier contact avec ASP, soyez indulgent SVP

Hé, hé, on fait peur?

Il y a cet article dans la FAQ. Il est ancien mais simple et toujours d'actualité.

Celui-ci aussi: http://msdn.microsoft.com/en-us/library/ms998310.aspx

Si tu t'es déjà authentifié grâce à tes propres méthodes, tu dois utiliser une variable en session ou en cookie que ta page va tester. Si la variable est valable l'internaute passe sinon il est redirigé.

A+

[DBA_OCP]

Merci pour ton aide. Sinon pour les deux lien j'ai déjà essayé avec le web.config mais ça à générer quelques problèmes...

Que dois-je utiliser une session ou un cookie ( le plus simple ) ? Un petit tuto ?

[Immobilis]

Pas plus compliqué l'un que l'autre. L'authentification sur ce site (developpez) est basé sur un cookie. La session est un peu plus sécurisé car la variable est stockée sur le serveur et non le client.

J'ai pas de tuto sous le coude désolé. Principe, a l'entrée de chaque page à sécuriser tu fais appel à une méthode du genre

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

MaClasseSecurite.IsUserCanAccess()

qui retourne vrai ou faux. Si vrai alors ça passe. Sinon ça passe pas. A l'interieur de "IsUserCanAccess" tu peux faire ce que tu veux.
Tu peux faire plein de surcharges

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

MaClasseSecurite.IsUserCanAccess(string userName, string password)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

MaClasseSecurite.IsUserCanAccess(HttpCookie cookie)

A+

[DBA_OCP]

Je vais utiliser une petite session pour l'admin alors mais bien evidement j'ai des problèmes

Voilà ce que je fais :

Si l'admin donne le bon login et mot de passe, il est rediriger vers la page acceuiladmin.aspx et je crée une session avec son nom :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
// Connexion à la BD ...
 
If myreader.Read() Then
                Response.Redirect("acceuiladmin.aspx")
                Session("username") = "admin"
            Else
                MsgBox("Identificateurs invalid")
            End If

Sinon j'affiche un message d'erreur et il peu encore ressayer.

sur la page acceuiladmin.aspx je fais le teste suivant avant la balise HTML :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
<%  If Not Session("username") Then
        Response.Redirect("admin.aspx")
    Else
        //J'affiche ma page HTML
%>

Qui signifie que si la session est définie il entre sinon il est redirigé vers le formulaire.

Le soucis maintenant est quoi qu'il s'authentifie ou pas je suis toujours rediriger vers le formulaire de login.

J'ai mis un petit affichage pour le nom de la session mais ça ne m'affiche rien...

[Immobilis]

Ton test n'est pas forcement très logique. Essaye de tester

1. Si Session("username") n'est pas null
2. La valeur de Session("username") vaut bien"admin"

A+

[DBA_OCP]

J'ai essayé les deux sans résultat.

Le hic est quand je fais un response.write du nom de la session dans une autre page ça m'affiche rien donc la valeur définie sur session("username") n'est pas transférer entre les pages je pense non ?

[DBA_OCP]

C'est bon j'ai retrouvé les anomalis et j'ai réglé les trucs.

Merci.

affaire à suivre dans des sujets qui vont pas tarder