La autorización de ASP.NET permite controlar el acceso a los recursos por parte de un usuario autenticado. Es decir podemos establecer si un usuario o grupo de usuarios tendrá posibilidad de acceder a una url en concreto.
Para ello se pueden establecer por cada directorio o archivo los permisos necesarios para acceder a él.
Todos sabemos que se pueden establecer reglas de reescritura mediante un web.config. A mi parecer la autorización de urls en asp.net está mal llamado por Microsoft porque lo que en realidad se controla es el acceso a un fichero o directorio determinado (es decir un recurso físico, no urls como tal).
Para establecer permisos en un sitio web se utilizarán los ficheros de configuración web.config. A continuación vamos a introducir algunos ejemplos que indican el funcionamiento de la autorización de urls en ASP.NET.
- Denegar usuarios anónimos a toda la web. En el web.config del sitio:
<system.web> ... <authorization> <deny users="?"/> //acceso denegado a usuarios anónimos </authorization> </system.web>
- Acceso denegado a usuarios anónimos pero posibilidad de acceso de uno a una página determinada
... <configuration> <system.web> <authorization> <deny users="?"/> //restringir usuarios anónimos </authorization> </system.web> <location path="registro.aspx"> //página a la que se aplicarán las siguientes configuraciones <system.web> <authorization> <allow users="*"/> // esto permitirá el acceso a cualquier usuario anónimo </authorization> </system.web> </location> </configuration>
- Dar permiso a un usuario en concreto y denegar a todos los demás:
<location path="usuario_con_privilegios.aspx">
<system.web>
<authorization>
<allow users="premium"/> // acceso permitido a usuario_premium
<deny users="*"/> // acceso denegado a todos los demás
</authorization>
</system.web>
</location>
- Permitir a usuarios con un determinado rol
<location path="DirectorioAdmin">
<system.web>
<authorization>
<allow roles="Admin"/> //Acceso permitido para usuarios con rol Admin
<deny users="*"/> // Acceso denegado a todos los demás
</authorization>
</system.web>
</location>
<location path="CustomerFolder">
<system.web>
<authorization>
<allow roles="Admin, Clientes"/> //Acceso permitido a usuarios con roles admin o clientes
<deny users="*"/> // Acceso denegado a todos los demás
</authorization>
</system.web>
</location>
- Es posible también establecer reglas en un web.config por cada directorio. Es decir tener un fichero web.config para cada directorio.
<configuration>
<system.web>
<authorization>
<allow roles="Admin"/> //Acceso permitido a usuarios con el rol Admin
<deny users="*"/> // prohibir acceso a todos los demás
</authorization>
</system.web>
</configuration>
Reglas
Hay que tener en cuenta de cómo se aplican las reglas:
- Las reglas contenidas en archivos de configuración en la aplicación tienen prioridad sobre las reglas heredadas. El sistema determina la regla que tiene prioridad creando una lista combinada de todas las reglas de una dirección URL, con las reglas más recientes (más arriba en la jerarquía) al principio de la lista.
- Dado un conjunto de reglas combinadas para una aplicación, ASP.NET comienza al principio de la lista y comprueba las reglas hasta que encuentra la primera coincidencia <allow users=»*»/> que autoriza a todos los usuarios. (Esta regla se aplica en último lugar de forma predeterminada.) Si no coincide ninguna otra regla de autorización, se permite la solicitud. Si se encuentra una coincidencia y ésta es un elemento deny, la solicitud se devuelve con el código de estado 401 HTTP. Si coincide un elemento allow, el módulo permite que se siga procesando la solicitud.