ID do artigo: 306590 - �ltima revis�o: segunda-feira, 29 de outubro de 2007 - Revis�o: 3.14

INFO: Vis�o geral sobre seguran�a do ASP.NET

Clique aqui para exibir o artigo traduzido e o artigo original em ingl�s, lado a lado.

Exibir Aviso de Isen��o de Tradu��o Autom�tica

Exibir os produtos aos quais esse artigo se aplica.

Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que est� a utilizar. Foi desactivado o conte�do do artigo, que pode n�o ser relevante para si.

Este artigo se refere � seguintes Microsoft .NET Framework Class Library namespaces:

System.Web.Security
System.Web.Principal

Sum�rio

Este artigo fornece uma introdu��o ao ASP.NET seguran�a.

Para adicionais vis�es gerais sobre ASP.NET, consulte o seguinte artigo:

305140� (http://support.microsoft.com/kb/305140/EN-US/ ) INFO: Guia de ASP.NET

Voltar para o in�cio

ASP.NET fornece mais controle para implementar a seguran�a para seu aplicativo. Seguran�a do ASP.NET funciona em conjunto com a seguran�a dos servi�os de informa��es da Internet (IIS) e inclui servi�os de autentica��o e autoriza��o para implementar o modelo de seguran�a do ASP.NET. O ASP.NET tamb�m inclui um recurso de seguran�a baseada em fun��o que voc� pode implementar para Microsoft Windows e contas de usu�rio n�o-Windows.

Este artigo est� dividido em se��es a seguir:

Flow of Security with a Request
Related Configuration Settings
Authentication
Forms AuthenticationWindows AuthenticationPassport AuthenticationDefault Authentication
Authorization
FileAuthorizationUrlAuthorization
Role-Based Security

Voltar para o in�cio

Fluxo de seguran�a com uma solicita��o

As seguintes etapas descrevem a seq��ncia de eventos quando um cliente faz uma solicita��o:

Um cliente solicita uma p�gina .aspx que reside em um IIS servidor.
As credenciais do cliente s�o passadas para o IIS.
O IIS autentica o cliente e encaminha o token autenticado com a solicita��o do cliente para o processo do operador do ASP.NET.
Com base no token autenticado do IIS e as configura��es de aplicativo da Web, ASP.NET decide se a representar um usu�rio no thread que est� processando a solicita��o. Uma diferen�a distinta entre Microsoft Active Server Pages (ASP) e o ASP.NET, ASP.NET n�o representa o usu�rio autenticado por padr�o. Para ativar a representa��o, voc� deve definir o atributo impersonate da se��o de identidade no arquivo Web.config para true .

Para obter mais informa��es sobre o fluxo de seguran�a, consulte o t�pico seguinte no .NET Framework Software Development Kit (SDK) documenta��o:

Fluxo de dados do ASP.NET
http://msdn.microsoft.com/en-us/library/xa68twcb(vs.71).aspx (http://msdn.microsoft.com/en-us/library/xa68twcb(vs.71).aspx)

Para obter informa��es adicionais sobre representa��o no ASP.NET, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

306158� (http://support.microsoft.com/kb/306158/EN-US/ ) INFO: Implementando a representa��o em um aplicativo ASP.NET

Voltar para o in�cio

Configura��es relacionadas

IIS mant�m configura��es relacionadas � seguran�a no IIS metabase. No entanto, o ASP.NET mant�m seguran�a (e outros) configura��es nos arquivos de configura��o XML (Extensible Markup Language). Embora isso geralmente simplifica a implanta��o do seu aplicativo do ponto de vista da seguran�a, o modelo de seguran�a que seu aplicativo adota necessita a configura��o correta do tanto a metabase do IIS e seu aplicativo ASP.NET por meio de seu arquivo de configura��o (Web.config).

As se��es de configura��o a seguir est�o relacionadas � seguran�a do ASP.NET:

se��o <authentication>
http://msdn.microsoft.com/en-us/library/532aee0e(vs.71).aspx (http://msdn.microsoft.com/en-us/library/532aee0e(vs.71).aspx)
se��o <authorization>
http://msdn.microsoft.com/en-us/library/8d82143t(vs.71).aspx (http://msdn.microsoft.com/en-us/library/8d82143t(vs.71).aspx)
se��o <identity>
http://msdn.microsoft.com/en-us/library/72wdk8cc(vs.71).aspx (http://msdn.microsoft.com/en-us/library/72wdk8cc(vs.71).aspx)
se��o <machinekey>
http://msdn.microsoft.com/en-us/library/w8h3skw9(vs.71).aspx (http://msdn.microsoft.com/en-us/library/w8h3skw9(vs.71).aspx)

Voltar para o in�cio

Autentica��o

Autentica��o � o processo pelo qual voc� obter credenciais de identifica��o como nome e senha do usu�rio e valida essas credenciais contra alguma autoridade.

O ASP.NET fornece quatro provedores de autentica��o:

Forms authentication
Windows authentication
Passport authentication
Default authentication

Autentica��o de formul�rios

Autentica��o de formul�rios refere-se a um sistema no qual as solicita��es n�o autenticadas s�o redirecionadas para um formul�rio HTML (Hypertext Markup Language) na qual os usu�rios digitam suas credenciais. Depois que o usu�rio fornece credenciais e submete o formul�rio, o aplicativo autenticar a solicita��o e o sistema emite um t�quete de autoriza��o na forma de um cookie. Esse cookie cont�m as credenciais ou uma chave para readquirir a identidade. As solicita��es subseq�entes do navegador incluem automaticamente o cookie.

Para obter mais informa��es sobre autentica��o de formul�rios, consulte o t�pico seguinte no SDK do .NET Framework documenta��o:

O provedor de autentica��o Forms
http://msdn.microsoft.com/en-us/library/907hb5w9(vs.71).aspx (http://msdn.microsoft.com/en-us/library/907hb5w9(vs.71).aspx)

Para obter informa��es adicionais autentica��o de formul�rios no ASP.NET, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

301240� (http://support.microsoft.com/kb/301240/EN-US/ ) COMO: Implementar baseada em formul�rios autentica��o no seu aplicativo ASP.NET usando o .NET translation from VPE for Csharp

Autentica��o do Windows

Na autentica��o do Windows, IIS executa a autentica��o e o token autenticado � encaminhado para o processo do operador do ASP.NET. A vantagem de usar Windows autentica��o � que ele requer um m�nimo de codifica��o. Conv�m usar o Windows autentica��o para representar a conta de usu�rio do Windows que o IIS autentica antes de voc� libere a solicita��o para o ASP.NET.

Para obter mais informa��es sobre autentica��o do Windows, consulte o t�pico a seguir na documenta��o do .NET Framework SDK:

O Provedor WindowsAuthenticationModule
http://msdn.microsoft.com/en-us/library/907hb5w9(vs.71).aspx (http://msdn.microsoft.com/en-us/library/907hb5w9(vs.71).aspx)

Autentica��o do Passport

Autentica��o do Passport � um centralizado servi�o de autentica��o, que a Microsoft fornece, que oferece um logon �nico e principais servi�os de perfil para sites membros. Normalmente, a autentica��o do Passport � usada quando voc� precisar capacidade de logon �nico em v�rios dom�nios.

Para obter mais informa��es sobre autentica��o do Passport, consulte o t�pico a seguir na documenta��o do .NET Framework SDK:

O provedor de autentica��o Passport
http://msdn.microsoft.com/en-us/library/f8e50t0f(vs.71).aspx (http://msdn.microsoft.com/en-us/library/f8e50t0f(vs.71).aspx)

Autentica��o de padr�o

Autentica��o padr�o � usada quando voc� n�o deseja qualquer seguran�a no seu aplicativo da Web; acesso an�nimo � necess�rio para este provedor de seguran�a. Entre todos os provedores de autentica��o, a autentica��o de padr�o fornece desempenho m�ximo do seu aplicativo. Este provedor de autentica��o tamb�m � usado quando voc� usa seu pr�prio m�dulo de seguran�a personalizado.

Voltar para o in�cio

Autoriza��o

Autoriza��o � o processo que verifica se o usu�rio autenticado tem acesso aos recursos solicitados.

O ASP.NET oferece os seguintes provedores de autoriza��o:

FileAuthorization
UrlAuthorization

FileAuthorization

A classe FileAuthorizationModule executa autoriza��o de arquivo e est� ativa quando voc� usa autentica��o do Windows. FileAuthorizationModule � respons�vel por realizar verifica��es em Windows controle de acesso (ACLs) para determinar se um usu�rio deve ter acesso de listas.

UrlAuthorization

A classe UrlAuthorizationModule executa autoriza��o de URL (Uniform Resource Locator), que controla a autoriza��o com base no espa�o para nome URI. Espa�os para nome URI podem ser muito diferentes dos caminhos de pastas e arquivos f�sicos que usam as permiss�es de NTFS.

UrlAuthorizationModule implementa ambas as declara��es de autoriza��o positivos e negativos; ou seja, voc� pode usar o m�dulo para seletivamente permitir ou negar acesso a partes arbitr�rias do espa�o para nome URI para usu�rios, fun��es (como gerente, testadores e administradores) e verbos (como GET e POST).

Para obter mais informa��es sobre autoriza��o no ASP.NET, consulte o t�pico a seguir na documenta��o do .NET Framework SDK:

Autoriza��o ASP.NET
http://msdn.microsoft.com/en-us/library/wce3kxhd(vs.71).aspx (http://msdn.microsoft.com/en-us/library/wce3kxhd(vs.71).aspx)

Voltar para o in�cio

Seguran�a baseada em fun��o

Seguran�a baseada em fun��o no ASP.NET � semelhante para a seguran�a baseada em fun��o que usa o Microsoft COM + e Microsoft Transaction Server (MTS), embora existem diferen�as importantes. Seguran�a baseada em fun��o no ASP.NET n�o est� limitada a contas e grupos do Windows. Por exemplo, se a autentica��o do Windows e representa��o estiver ativada, a identidade do usu�rio � uma identidade do Windows (User.Identity.Name = "Domain\username"). Voc� pode verificar identidades para participa��o em fun��es espec�ficas e restringir o acesso adequadamente. Por exemplo:

c�digo do Visual Basic .NET

If User.IsInRole("BUILTIN\Administrators") Then
   Response.Write("You are an Admin")
Else If User.IsInRole("BUILTIN\Users") then
   Response.Write("You are a User")
Else
   Response.Write("Invalid user")
End if

C�digo do .NET translation from VPE for Csharp visual

if ( User.IsInRole("BUILTIN\\Administrators"))
   Response.Write("You are an Admin");
else if (User.IsInRole("BUILTIN\\Users"))
   Response.Write("You are a User");
else
   Response.Write("Invalid user");

se voc� estiver usando autentica��o de formul�rios, fun��es n�o s�o atribu�das para o usu�rio autenticado; voc� deve fazer isso programaticamente. Para atribuir fun��es para o usu�rio autenticado, use o evento OnAuthenticate do m�dulo de autentica��o (que � o Forms m�dulo de autentica��o neste exemplo) para criar um novo objeto GenericPrincipal e atribu�-lo � propriedade de usu�rio de HttpContext. O c�digo a seguir ilustra isso:

c�digo do Visual Basic .NET

Public Sub Application_AuthenticateRequest(s As Object, e As EventArgs)
   If (Not(HttpContext.Current.User Is Nothing)) Then
      If HttpContext.Current.User.Identity.AuthenticationType = "Forms" Then
         Dim id as System.Web.Security.FormsIdentity = HttpContext.Current.User.Identity
         Dim myRoles(3) As String
         myRoles(0)= "managers"
         myRoles(1)= "testers"
         myRoles(2)= "developers"
         HttpContext.Current.User = new System.Security.Principal.GenericPrincipal(id,myRoles) 
      End If
   End If
End Sub

C�digo do .NET translation from VPE for Csharp visual

public void Application_AuthenticateRequest(Object s, EventArgs e)      
{
   if (HttpContext.Current.User != null)
   {
      if (HttpContext.Current.User.Identity.AuthenticationType == "Forms" ) 
      {
         System.Web.Security.FormsIdentity id = HttpContext.Current.User.Identity;
         String[] myRoles = new String[3];
         myRoles[0]= "managers";
         myRoles[1]= "testers";
         myRoles[2]= "developers";
         HttpContext.Current.User = new System.Security.Principal.GenericPrincipal(id,myRoles);
      }
   }
}

para verificar se o usu�rio est� em uma fun��o espec�fica e restringir o acesso da mesma forma, use o seguinte c�digo (ou semelhante) em suas p�ginas .aspx:

c�digo do Visual Basic .NET

If User.IsInRole("managers") Then
   Response.Write("You are a Manager")
Else If  User.IsInRole("testers") Then
   Response.Write("You are a Tester")
Else If User.IsInRole("developers") Then
   Response.Write("You are a Developer")
End if

Visual C# .NET Code

if (User.IsInRole("managers"))
   Response.Write("You are a Manager");
else if (User.IsInRole("testers"))
   Response.Write("You are a Tester");
else if (User.IsInRole("developers"))
   Response.Write("You are a Developer");

Para obter informa��es adicionais, clique no n�mero abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:

306238� (http://support.microsoft.com/kb/306238/EN-US/ ) COMO: Implementar baseada em fun��o a seguran�a com autentica��o baseada em formul�rios no seu aplicativo ASP.NET usando o Visual Basic .NET

Para obter mais informa��es sobre seguran�a baseada em fun��o, consulte o t�pico a seguir na documenta��o do .NET Framework SDK:

Seguran�a baseada em fun��o
http://msdn.microsoft.com/en-us/library/52kd59t0(vs.71).aspx (http://msdn.microsoft.com/en-us/library/52kd59t0(vs.71).aspx)

Voltar para o in�cio

Refer�ncias

Para informa��es sobre diretrizes de seguran�a do ASP.NET, consulte o seguinte documento MSDN:

Autentica��o no ASP.NET: guia de seguran�a do .NET
http://msdn.microsoft.com/en-us/library/ms978378.aspx (http://msdn.microsoft.com/en-us/library/ms978378.aspx)

Para obter informa��es mais gerais sobre o ASP.NET, consulte o seguinte grupo de not�cias MSDN:

microsoft.public.dotnet.framework.aspnet (http://msdn.microsoft.com/newsgroups/default.aspx?query=microsoft.public.dotnet.framework.aspnet&dg=&cat=en-us-msdn&lang=en&cr=US&pt=&catlist=774F24A2-F71F-425F-AC2B-DC48AB0DA5C9&dglist=&ptlist=&exp=&sloc=en-us)

Para obter informa��es adicionais, clique nos n�meros abaixo para ler os artigos na Base de dados de Conhecimento da Microsoft:

311094� (http://support.microsoft.com/kb/311094/EN-US/ ) Erro: Mensagem de erro "ConfigurationException" ao representado contas ler configura��o

306359� (http://support.microsoft.com/kb/306359/EN-US/ ) PROBLEMA: Request.ServerVariables("LOGON_USER") retorna String vazio no ASP.NET

313091� (http://support.microsoft.com/kb/313091/EN-US/ ) COMO: Criar chaves usando Visual Basic .NET para uso em autentica��o de formul�rios

313116� (http://support.microsoft.com/kb/313116/EN-US/ ) PROBLEMA: Solicita��es de autentica��o de formul�rios Are Not Directed para loginUrl Page

Para obter mais informa��es, consulte os seguintes manuais:

Reilly, Douglas j Designing Microsoft ASP.NET Applications (http://www.microsoft.com/mspress/books/toc/5136.aspx) . Microsoft Press, 2001.

Esposito, Dino. Building Web Solutions with ASP.NET and ADO.NET (http://www.microsoft.com/learning/en/us/Books/5727.aspx) . Microsoft Press, 2001.

Voltar para o in�cio

A informa��o contida neste artigo aplica-se a:

Microsoft ASP.NET 1.0
Microsoft ASP.NET 1.1

Voltar para o in�cio

kbmt kbproductlink kbarttyperoadmap kbconfig kbinfo kbsecurity kbweb KB306590 KbMtpt

Voltar para o in�cio

Tradu��o autom�tica

IMPORTANTE: Este artigo foi traduzido por um sistema de tradu��o autom�tica (tamb�m designado por Machine Translation ou MT), n�o tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplica��es (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em portugu�s a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradu��o autom�tica n�o � sempre perfeita, podendo conter erros de vocabul�rio, sintaxe ou gram�tica. A Microsoft n�o � respons�vel por incoer�ncias, erros ou preju�zos ocorridos em decorr�ncia da utiliza��o dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualiza��es freq�entes ao software de tradu��o autom�tica (MT). Obrigado.

Clique aqui para ver a vers�o em Ingl�s deste artigo: 306590� (http://support.microsoft.com/kb/306590/en-us/ )

Voltar para o in�cio

This site in other countries/regions:

INFO: Vis�o geral sobre seguran�a do ASP.NET

Nesta p�gina

Sum�rio

Mais Informa��es

Fluxo de seguran�a com uma solicita��o

Configura��es relacionadas

Autentica��o

Autentica��o de formul�rios

Autentica��o do Windows

Autentica��o do Passport

Autentica��o de padr�o

Autoriza��o

FileAuthorization

UrlAuthorization

Seguran�a baseada em fun��o

Refer�ncias

A informa��o contida neste artigo aplica-se a:

Palavras-chave:�

Outros Sites de Suporte

Comunidades

Obtenha Ajuda Agora

Tradu��es deste artigo