ID do artigo: 299987 - �ltima revis�o: ter�a-feira, 5 de setembro de 2006 - Revis�o: 5.1

Como usar o banco de dados e as sess�es ASP para implementar a seguran�a ASP

Aviso de Isen��o de Responsabilidade sobre Conte�do do KB Aposentado

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Aviso

Recomendamos que todos os usu�rios atualizem para a vers�o 6.0 do Servi�os de informa��es da Internet (IIS) executado no Microsoft Windows Server 2003. O IIS 6.0 aumenta de forma significativa a seguran�a da infra-estrutura da Web. Para obter informa��es adicionais sobre t�picos relacionados a seguran�a IIS, visite o seguinte site da Microsoft:

http://www.microsoft.com/brasil/security/guidance/prodtech/iis.mspx (http://www.microsoft.com/brasil/security/guidance/prodtech/iis.mspx)

Nesta p�gina

Expandir tudo | Recolher tudo

Sum�rio

Este artigo detalhado discute como implementar uma seguran�a com base em formul�rios para os aplicativos ASP (Active Server Pages). Voc� pode usar esse mecanismo quando sua aplica��o � seguran�a aprimorada ou quando voc� permite apenas usu�rios autenticados. Tamb�m � poss�vel usar esse mecanismo quando os usu�rios, como os usu�rios da Internet, n�o fazem parte de seu dom�nio interno. Este exemplo usa um banco de dados para armazenar as informa��es dos usu�rios e valid�-los nesse mesmo banco de dados.

Voltar para o in�cio

Pr�-requisitos

Microsoft Windows NT 4.0 Workstation, Windows NT 4.0 Server, Microsoft Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server ou Microsoft Windows Server 2003
Os Servi�os de informa��es da Internet da Microsoft (IIS) 4.0 para os computadores executando o Windows NT 4.0, os Servi�os de informa��es da Internet (IIS) 4.0 para os computadores executando o Windows 2000 ou os Servi�os de informa��es da Internet (IIS) 6.0 para os computadores executando o Windows Server 2003
Microsoft SQL Server 6.5 ou uma vers�o mais recente do SQL Server

Como desenvolver este aplicativo

Esta se��o descreve brevemente as etapas necess�rias para implementar a seguran�a com base em formul�rios ou a seguran�a personalizada em seu aplicativo da Web em ASP:

Apresente um formul�rio de logon ao usu�rio.
Valide as credenciais do usu�rio, comparando-as com as informa��es do usu�rio armazenadas no seu banco de dados de usu�rio.
Crie uma vari�vel de sess�o e defina seu valor para a identifica��o do usu�rio.
Para cada solicita��o subseq�ente feita pelo usu�rio, verifique se o valor dessa vari�vel n�o � igual a uma seq��ncia de caracteres em branco (""), para confirmar se ele fez logon.
Se a vari�vel estiver em branco, o usu�rio n�o � v�lido ou fez logoff da sess�o. Redirecione o usu�rio para a p�gina de logon, se a vari�vel estiver em branco.
Se o logon falhar porque esse usu�rio n�o existe em seu banco de dados, talvez ele ainda n�o esteja registrado em seu site. Redirecione o usu�rio para a p�gina Register.asp para permitir que ele se registre em seu site. Quando o usu�rio se registra, seus detalhes s�o adicionados ao banco de dados de usu�rio.
Forne�a um link para a p�gina de logoff em todas as p�ginas, exceto na p�gina de logon, para permitir que o usu�rio fa�a logoff da sess�o. Essa p�gina limpa a vari�vel de sess�o que est� mantendo a identifica��o do usu�rio, atribuindo a ela uma seq��ncia de caracteres em branco ("").

Crie uma tabela do banco de dados de usu�rio

Clique em Iniciar e em Executar, digite notepad na caixa Abrir e pressione ENTER.

Destaque o seguinte script SQL, clique com o bot�o direito do mouse nele e clique em Copiar. No Bloco de notas, clique em Colar no menu Editar.

 CREATE TABLE [Users] ( 	[uid] [varchar] (25) NOT NULL , 	[password] [varchar] (25) NOT NULL , 	CONSTRAINT [PK_Users] PRIMARY KEY  CLUSTERED  	( 		[uid] 	)  ON [PRIMARY]  ) ON [PRIMARY] GO

No menu Arquivo, clique em Salvar. Na caixa Nome do arquivo, digite User.txt.
Clique em Iniciar, aponte para Programas, para Microsoft SQL Server e clique em Query Analyzer. Na caixa de di�logo Conectar-se ao SQL Server, especifique o nome do servidor que est� executando o SQL Server, a identifica��o do usu�rio e a senha para se conectar ao SQL Server.
No menu Arquivo, clique em Abrir. Na caixa de di�logo Abrir, clique em Todos os arquivos (*.*) na caixa Arquivos do tipo. Clique em User.txt na lista e em Abrir.
Na caixa DB da barra de ferramentas, selecione o banco de dados em que voc� quer criar essa tabela. Se voc� n�o tiver um banco de dados espec�fico para isso, clique em Pubs para criar essa tabela no banco de dados Pubs de exemplo.
Ap�s selecionar o banco de dados, clique em Executar no menu Consulta para executar a consulta. Isso cria uma tabela Usu�rios no banco de dados selecionado.

Crie e configure o diret�rio virtual

No Windows Explorer, crie uma pasta na raiz da Web. Por padr�o, a raiz da Web � Unidade_do_sistema:\Inetpub\Wwwroot. Nomeie a pasta ASPSecureAPP.
Inicie o Console de Gerenciamento Microsoft (MMC) do Gerenciador de servi�os de Internet.

Observa��o No Windows NT 4.0, o MMC est� nomeado como Gerenciador de servi�os de Internet.
- Para abrir o Gerenciador de servi�o da Internet em um computador que est� executando o Windows 2000 ou o Windows Server 2003, clique em Iniciar, em Executar, digite inetmgr na caixa Abrir e pressione ENTER.
- Para abrir o Gerenciador de servi�os de Internet em um computador executando o Windows NT 4.0, execute as seguintes etapas:
  1. Clique Iniciar, aponte para Programas, para Windows NT 4.0 Option Pack e clique em Servi�o de informa��o da Internet da Microsoft.
  2. Clique em Gerenciador de servi�o de Internet.
Expanda Computador e Site padr�o da Web. Clique com o bot�o direito do mouse na pasta ASPSecureAPP que voc� criou na etapa 1 e clique em Propriedades.
Na guia Diret�rio na caixa de di�logo Propriedades, clique em Criar na se��o Configura��es do aplicativo para marcar o diret�rio como um aplicativo.

Crie as p�ginas de exemplo

Observa��o Se voc� usar um Bloco de notas para cria essas p�ginas, verifique se voc� clicou em Todos os arquivos na caixa Salvar como tipo da caixa de di�logo Salvar como ao salvar os arquivos.

Logon.asp.

Esta p�gina permite que os usu�rios digitem seu nome de usu�rio e sua senha para acessar o site.

Copie o seguinte c�digo em um p�gina ASP nova. Salve o arquivo Logon.asp na pasta ASPSecureAPP do diret�rio Inetpub\Wwwroot.

<%
'The following three lines of code are used to make sure that this page is not cached on the client.
Response.CacheControl = "no-cache"
Response.AddHeader "Pragma", "no-cache"
Response.Expires = -1
%>
<html><body>
<form action="Validate.asp" method="post">
<P>
Login ID:&#xa0;&#xa0;  <INPUT type=text id=UID  name=UID> <br>
Password:&#xa0;&#xa0;<input type="password" id="passwd" name="passwd"> 
</P>
<input type="submit" value="Logon" id="submit1" name="submit1">
</form>
</body></html>

Validate.asp

Ap�s o usu�rio fornecer suas informa��es de logon para fazer logon no seu aplicativo, essa p�gina valida as informa��es e redireciona o usu�rio para a p�gina apropriada.

Copie o seguinte c�digo em um p�gina ASP nova. Modifique os par�metros de conectar seq��ncia de caracteres para que elas contenham valores v�lidos. Estes par�metros desta seq��ncia s�o:

Identifica��o do usu�rio
Senha
Cat�logo inicial
Fonte de dados

Salve o arquivo Validate.asp na pasta ASPSecureAPP do diret�rio Inetpub\Wwwroot.

<%
Response.Buffer=true

'The following three lines of code are used to make sure that this page is not cached on the client.
Response.CacheControl = "no-cache"
Response.AddHeader "Pragma", "no-cache"
Response.Expires = -1

Dim userid
Dim Pwd
'Assign the user ID to this variable. The user provides the user ID.
userid= Request.Form("UID")
'Check whether userid is an empty string. If it is empty, redirect to Logon.asp.
'If it is not empty, connect to the database, and validate the user.

if userid <> "" then
    pwd = Request.Form("passwd")
	
    Dim Cn
    Dim Rs
    Dim StrConnect

'Specify the connection string to access the database.
'Remember to change the following connection string parameters to reflect the correct values
'for your SQL server.
    StrConnect = "Provider=SQLOLEDB.1;User ID=<username>;Password=<strong password>;Initial Catalog=pubs;" & _
    "Network Library=dbmssocn;Data Source=servername"

    Set Cn = Server.CreateObject("ADODB.Connection")
    Cn.Open StrConnect
    Set Rs = Server.CreateObject("ADODB.Recordset")
    Rs.Open "Select * from Users where uid='" & userid & "'",Cn
'Check to see whether this user ID exists in your database.
    If Not Rs.EOF then
        If strcomp( pwd, Rs.Fields("password").value , 1) = 0 then
'Password is correct. Set a session variable, and redirect the user to a Default.asp page
'or the main page in your application.
            Session("UID") = userid
            Response.Redirect "Default.asp"
            Response.End
        Else
'Password is incorrect. Redirect the user to the logon page.
            Response.Redirect "Logon.asp"
            Response.End
        End if
    Else
'If the user is not in your database, point him or her to the Register.asp page
'so that he or she can register at your Web site to access your application.
        Response.Redirect "Register.asp"
        Response.End
    End if
Else
    Response.Redirect "Logon.asp"
    Response.End
End if

%>

Register.asp

Esta p�gina permite que os usu�rios digitem seu nome de usu�rio e sua senha para acessar o site.

Copie o seguinte c�digo em um p�gina ASP nova. Modifique os par�metros de conectar seq��ncia de caracteres para que elas contenham valores v�lidos. Estes par�metros desta seq��ncia s�o:

Identifica��o do usu�rio
Senha
Cat�logo inicial
Fonte de dados

Salve o arquivo Register.asp na pasta ASPSecureAPP do diret�rio Inetpub\Wwwroot.

<%
Response.Buffer=true

'The following three lines of code are used to make sure that this page is not cached on the client.
Response.CacheControl = "no-cache"
Response.AddHeader "Pragma", "no-cache"
Response.Expires = -1

'Check whether user has submitted user name and password so that you can 
'add that user to the users database and register him or her as a valid 
'user to use this application.
'This is just the minimal code that you need. You can customize this the way you want.
Dim pwd
Dim userid

userid = Request.Form("uname")
pwd = Request.Form("pwd")

If userid <> "" then
    If  pwd <> "" then
        Dim Cn
        Dim Rs
        Dim StrConnect

'Specify the connection string to access the database.
'Remember to change the following connection string parameters to reflect the correct values
'for your SQL server.
        StrConnect = "Provider=SQLOLEDB.1;User ID=<username>;Password=<strong password>;" & _
        "Initial Catalog=pubs;Network Library=dbmssocn;Data Source=servername"

        Set Cn = Server.CreateObject("ADODB.Connection")
        Cn.Open StrConnect
        Set Rs = Server.CreateObject("ADODB.Recordset")
        Rs.Open "Select * from Users where uid='" & userid & "'",Cn,3
        If Rs.RecordCount>0 then
            Response.Write "The Username that you entered has already been taken by someone else."
            Response.Write "Use a different Username."
            Set Rs = Nothing
            Set Cn = Nothing
        Else
            Dim records
            Cn.Execute "INSERT INTO USERS1 (uid,password) VALUES" & _
            "('" & userid & "','" & pwd & "')" , records
            If records=1 then
                Response.Write "You have been registered successfully."
                Set Rs = Nothing
                Set Cn = Nothing
                Session("UID")= userid
                Response.Redirect "Default.asp"
                Response.End 			
            Else
                Response.Write Err.Description
                Set Rs = Nothing
                Set Cn = Nothing
                Response.End 			
            End if
        End if
    Else
    Response.Write "Password is empty. Could not register. Try again."
    End if
End if
%>

<html>
<head>
<script language="javascript">
function callsubmit()
{

if (frm1.pwd.value==frm1.pwdc.value) {
frm1.submit();
}
else
{
alert("Password does not match. Re-enter the password");
}

}
</script>
</head>
<body>
<form action="" method="post" id=frm1 name=frm1>
<P>
Login ID:&#xa0;&#xa0;  <INPUT type=text id=uname  name=uname> <br>
Password:&#xa0;&#xa0;<input type="password" id="pwd" name="pwd"> <br>
Confirm Password:&#xa0;&#xa0;<input type="password" id="pwdc" name="pwdc"> 
</P>
<input type="button" value="Register" id="submit1" name="submit1" onclick=javascript:callsubmit();>
</form>
</body>
</html>

Logoff.asp

Esta p�gina permite que os usu�rios fa�am logoff.

Copie o seguinte c�digo em um p�gina ASP nova. Salve o arquivo Logoff.asp na pasta ASPSecureAPP do diret�rio Inetpub\Wwwroot.

<%
Response.Buffer=True

'The following three lines of code are used to make sure that this page is not cached on the client.
Response.CacheControl = "no-cache"
Response.AddHeader "Pragma", "no-cache"
Response.Expires = -1

'Set the session variable to an empty string and also destroy the session to make
'to complete the user session.
Session("UID")=""
Session.Abandon
Response.Redirect "Logon.asp"
Response.End
%>

Default.asp

� poss�vel usar esta p�gina para testar as outras p�ginas que voc� criou.

Copie o seguinte c�digo em um p�gina ASP nova. Salve o arquivo Default.asp na pasta ASPSecureAPP do diret�rio Inetpub\Wwwroot.

<%
'The following three lines of code are used to make sure that this page is not cached on the client.
Response.CacheControl = "no-cache"
Response.AddHeader "Pragma", "no-cache"
Response.Expires = -1

if session("UID")="" then 
    Response.Redirect "Logon.asp"
    Response.End
else
    Response.Write "You are logged on as " & session("UID") & "<br>"
end if
%>
<HTML>
<BODY>
<A HREF="Logoff.asp">Click here to log off</A>
<BODY>
</HTML>

Adicione um c�digo de valida��o �s p�ginas

O seguinte c�digo verifica se o usu�rio j� fez logon no site e ainda n�o fez logoff.

Copie esse bloco de c�digo em cada uma das p�ginas ASP de seguran�a avan�ada, exceto na p�gina Logon.asp e na Validate.asp. N�o adicione esse c�digo �s p�ginas Logon.asp ou Validate.asp. Verifique se colou esse c�digo no in�cio de cada p�gina para que ele apare�a primeiro.

<%
'The following three lines of code are used to make sure that this page is not cached on the client.
Response.CacheControl = "no-cache"
Response.AddHeader "Pragma", "no-cache"
Response.Expires = -1

if session("UID")="" then 
    Response.Redirect "Logon.asp"
    Response.End
end if
%>

Como esse aplicativo funciona

Em termos pr�ticos, esse aplicativo tem duas p�ginas (Logon.asp e Register.asp) que qualquer um pode visualizar sem fornecer suas credenciais. Para visualizar as p�ginas restantes, um usu�rio deve fazer logon usando uma identifica��o de usu�rio e uma senha v�lidas. Portanto, quando um usu�rio navega diretamente para qualquer p�gina que exige informa��es de logon, ele � redirecionado � p�gina Logon.asp. Os usu�rios devem fornecer uma identifica��o de usu�rio e uma senha v�lidas na p�gina Logon.asp. Se a senha estiver incorreta, o usu�rio pode fazer logon novamente.

Se a identifica��o e a senha do usu�rio n�o existirem em seu banco de dados, o usu�rio � redirecionado para a p�gina Register.asp na qual ele pode se registrar para usar o seu aplicativo. Quando o usu�rio se registra no seu site pela p�gina Register.asp, seus detalhes s�o inseridos no banco de dados que voc� est� usando para validar os usu�rios.

Voltar para o in�cio

Solu��o de problemas

Com base nos requisitos e no n�vel de seguran�a desse aplicativo, � poss�vel ativar a criptografia Secure Sockets Layer (SSL) em Logon.asp para evitar a transfer�ncia das credenciais de usu�rio em texto n�o criptografado.
Essas contas de usu�rio n�o s�o mapeadas para as contas do Windows. Portanto, n�o � poss�vel usar diretamente as suas contas do Windows para fazer logon nesse aplicativo.
Esse mecanismo de seguran�a usa informa��es com base na Se��o ASP. Portanto, esse mecanismo n�o funciona com os usu�rios que n�o possuem cookies habilitados.

Voltar para o in�cio

Refer�ncias

Para obter informa��es adicionais, clique nos n�meros abaixo para ler os artigos na Base de Dados de Conhecimento da Microsoft:

172138� (http://support.microsoft.com/kb/172138/ ) Como criar um diret�rio virtual do ISS (Internet Information Services)

282060� (http://support.microsoft.com/kb/282060/ ) Recursos para prote��o dos Servi�os de informa��es de Internet

299970� (http://support.microsoft.com/kb/299970/[PT]/ ) Como usar as permiss�es NTFS para proteger uma p�gina da Web executada no IIS 4.0 ou 5.0

Voltar para o in�cio

A informa��o contida neste artigo aplica-se a:

Microsoft Active Server Pages 4.0

Voltar para o in�cio

kbaspobj kbdatabase kbhowtomaster kbsecurity KB299987

Voltar para o in�cio

Aviso de Isen��o de Responsabilidade sobre Conte�do do KB Aposentado

Este artigo trata de produtos para os quais a Microsoft n�o mais oferece suporte. Por esta raz�o, este artigo � oferecido "como est�" e n�o ser� mais atualizado.

Voltar para o in�cio

This site in other countries/regions:

Como usar o banco de dados e as sess�es ASP para implementar a seguran�a ASP

Aviso

Nesta p�gina

Sum�rio

Pr�-requisitos

Como desenvolver este aplicativo

Crie uma tabela do banco de dados de usu�rio

Crie e configure o diret�rio virtual

Crie as p�ginas de exemplo

Logon.asp.

Validate.asp

Register.asp

Logoff.asp

Default.asp

Adicione um c�digo de valida��o �s p�ginas

Como esse aplicativo funciona

Solu��o de problemas

Refer�ncias

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Tradu��es deste artigo