Iniciar sesi�n

Select the product you need help with

INFORMACI�N: Ayuda a proteger la autenticaci�n de formularios mediante Secure Sockets Layer (SSL)

Id. de art�culo: 813829 - Ver los productos a los que se aplica este art�culo

Advertencia: Art�culo de Traducci�n Autom�tica, vea la exenci�n de responsabilidad.

Haga clic aqu� para ver en paralelo el art�culo de traducci�n autom�tica y el art�culo original en ingl�s.

Este art�culo hace referencia al siguiente espacio de nombres de la Biblioteca de clases de Microsoft .NET Framework:

System.Web.Security

Expandir todo | Contraer todo

De forma predeterminada, la cookie que contiene el vale de autenticaci�n de formularios no es segura cuando utilice autenticaci�n de formularios en una aplicaci�n Web de Microsoft ASP.NET. En este art�culo se describe c�mo ayude autenticaci�n mediante formularios segura mediante Secure Sockets Layer (SSL). Este art�culo tambi�n describe las opciones de implementaci�n adicionales y formas alternativas para la autenticaci�n de formularios seguro.

Volver al principio | Enviar comentarios

M�s informaci�n

Autenticaci�n basada en formularios es un servicio de autenticaci�n de ASP.NET que permite a las aplicaciones para proporcionar su propia interfaz de inicio de sesi�n y realizar comprobaci�n de credenciales personalizadas. Con la autenticaci�n de formularios, ASP.NET autentica los usuarios y redirecciona a los usuarios no autenticados a la p�gina de inicio de sesi�n especificado por el atributo loginUrl del <forms> elemento en el archivo Web.config. Cuando proporciona credenciales mediante el formulario de inicio de sesi�n, la aplicaci�n autentica la solicitud y, a continuaci�n, el sistema emite una clase FormsAuthenticationTicket en el formulario de una cookie. La clase FormsAuthenticationTicket se pasa como una cookie de respuesta para posteriores solicitudes del cliente autenticado de Web.

Aunque la autenticaci�n de formularios proporciona un medio flexible de autenticaci�n, debe considerar detenidamente algunos aspectos importantes cuando puede ayudar a proteger una aplicaci�n ASP.NET. Se debe proteger las credenciales de inicio de sesi�n inicial mediante SSL porque las credenciales se env�an al servidor como texto sin formato. Tambi�n debe asegurarse de que ayuda a proteger la cookie que contiene el vale de autenticaci�n de formularios. Para ello, utilice SSL en todas las p�ginas para ayudar a proteger el vale. Como alternativa, puede cifrar el vale de autenticaci�n de formularios estableciendo el atributo de protecci�n de la <forms> clase de elemento en todo o para cifrar en el archivo Web.config y utilice el m�todo Encrypt de la FormsAuthentication para cifrar el vale. Para obtener m�s informaci�n acerca del m�todo Encrypt de la clase FormsAuthentication , consulte la "" secci�n de este art�culo.

Ventajas de la autenticaci�n mediante formularios

Autenticaci�n de formularios admite la autenticaci�n con un datos personalizados almac�n, como una base de datos de Microsoft SQL Server o Active servicios de directorio. Para obtener m�s informaci�n, vea la secci�n "REFERENCES" de este art�culo.
Autenticaci�n de formularios admite la autorizaci�n basada en funciones con funciones de b�squeda de un almac�n de datos.
Autenticaci�n mediante formularios se integra sin problemas el Web interfaz de usuario. Para obtener m�s informaci�n, vea la secci�n "REFERENCES" de este art�culo.
ASP.NET proporciona gran parte de la infraestructura. Relativamente poco c�digo es necesario en comparaci�n con las versiones 3.0 y anteriores de p�ginas Active Server de Microsoft
La autenticaci�n de formularios de ASP.NET no requiere Microsoft Internet Explorer. Autenticaci�n mediante formularios es compatible con un clientes de explorador de gran intervalo de Web.

C�mo segura de autenticaci�n de formularios de creaci�n de Ayuda

Utilizar SSL para todas las p�ginas.
Utilice el m�todo Encrypt de la clase FormsAuthentication .

Utilizar SSL para todas las p�ginas

Asegurarse para que la cookie de autenticaci�n sigue siendo segura durante una sesi�n de explorador cliente mediante cifrado de SSL para ayudar a seguro el acceso seguro a todas las p�ginas. Utilizar cifrado SSL en la aplicaci�n, ayuda a nadie de poner en peligro la cookie de autenticaci�n y de transmisi�n de otra informaci�n valiosa.

Establezca el valor de la propiedad requireSSL en true en el archivo Web.config. Esto coloca SSL en lugar de cuando la cookie se env�a al explorador. Si no establece el valor de requireSSL en true , el formulario produce una excepci�n o no se autentica con la cookie.

Cuando requireSSL se establece en true , la conexi�n cifrada ayudar� a proteger las credenciales del usuario y ASP.NET establece la propiedad HttpCookie.Secure para la cookie de autenticaci�n. El explorador compatible no devuelve la cookie a menos que la conexi�n utiliza SSL. En el ejemplo siguiente se muestra c�mo hacerlo en el archivo Web.config de la aplicaci�n:

 <configuration>
 <system.web>
   <authentication mode="Forms">
     <forms name=".ASPXAUTH"
       loginUrl="login.aspx" 
       protection="All"
       timeout="20"
       requireSSL="true">
     </forms>
   </authentication > 
   <authorization>
     <deny users="?" />
   </authorization>
 </system.web>
</configuration>

el ejemplo siguiente toma acci�n si se establece la cookie para transmitir de forma segura:

c�digo Visual C# .NET

 string cookieName = FormsAuthentication.FormsCookieName.ToString(); 
 HttpCookie MyCookie = Context.Request.Cookies[cookieName];

 if (MyCookie.Secure)
 {
      Response.Write("The cookie is secure with SSL.");
      // Add other required code here.
 }

c�digo de Visual Basic .NET

   Dim cookieName As String = FormsAuthentication.FormsCookieName.ToString
   Dim MyCookie As HttpCookie = Context.Request.Cookies(cookieName)
   If MyCookie.Secure Then
      Response.Write("The cookie is secure with SSL.")
      ' Add other required code here.
   End If

Uso el m�todo de la clase FormsAuthentication de cifrar

Si s�lo se utiliza SSL en la p�gina Web de inicio de sesi�n inicial para cifrar las credenciales que se pasan para la autenticaci�n, aseg�rese de que est� protegido el vale de autenticaci�n de formularios est� contenido en una cookie. Los vales de autenticaci�n de formularios deben estar protegidos porque la cookie se pasa entre el cliente y el servidor en cada solicitud Web posterior. Para cifrar el vale de autenticaci�n de formularios, configure el atributo de protecci�n de la <forms> clase de elemento y utilice el m�todo Encrypt de la FormsAuthentication para cifrar el vale.

<authentication mode="Forms">
  <forms name="MyAppFormsAuth"
       loginUrl="login.aspx"
       protection="All"
       timeout="20" 
       path="/" >
  </forms>
</authentication>

porque el atributo protection est� establecido en All , cuando la aplicaci�n llama al m�todo FormsAuthentication.Encrypt , el vale debe validarse y cifrarse.

Llame al m�todo Encrypt al crear los formularios de vale de autenticaci�n. Normalmente, crear el vale en el controlador de eventos de Inicio de sesi�n de la aplicaci�n.

c�digo Visual C# .NET

string encryptedTicket = FormsAuthentication.Encrypt(authTicket);

c�digo de Visual Basic .NET

Dim encryptedTicket As String = FormsAuthentication.Encrypt(authTicket)

Volver al principio | Enviar comentarios

Referencias

Para obtener informaci�n acerca de autenticaci�n ASP.NET y formularios, visite los siguientes sitios Web de Microsoft:

Autenticaci�n en ASP.NET: gu�a de seguridad de .NET
http://msdn2.microsoft.com/en-us/library/ms978378.aspx

(http://msdn2.microsoft.com/en-us/library/ms978378.aspx)

Proveedor de autenticaci�n de formularios
http://msdn2.microsoft.com/en-us/library/9wff0kyh(vs.71).aspx

(http://msdn2.microsoft.com/en-us/library/9wff0kyh(vs.71).aspx)

Para obtener informaci�n adicional sobre c�mo utilizar SSL para proteger la autenticaci�n mediante formularios, haga clic en los n�meros de art�culo siguientes para verlos en Microsoft Knowledge Base:

306590

(http://support.microsoft.com/kb/306590/EN-US/ )

INFORMACI�N: Informaci�n general sobre seguridad ASP.NET

315588

(http://support.microsoft.com/kb/315588/EN-US/ )

C�mo: Proteger una aplicaci�n de ASP.NET con certificados de cliente

313116

(http://support.microsoft.com/kb/313116/ )

PRB: Forms autenticaci�n solicitudes no se dirigen a loginUrl p�gina

324069

(http://support.microsoft.com/kb/324069/ )

C�mo: Configurar un servicio HTTPS en IIS

326340

(http://support.microsoft.com/kb/326340/ )

AD - C�mo: autenticaci�n en Active Directory mediante autenticaci�n por formularios y Visual Basic .NET

301240

(http://support.microsoft.com/kb/301240/ )

SQL - C�mo: implementar la autenticaci�n basada en formularios en su aplicaci�n ASP.NET mediante C# .NET

308157

(http://support.microsoft.com/kb/308157/ )

SQL - C�mo: implementar la autenticaci�n basada en formularios en su aplicaci�n de ASP.NET mediante Visual Basic .NET

311495

(http://support.microsoft.com/kb/311495/ )

C�mo: Implementar basada en seguridad con autenticaci�n basada en formularios en un ASP.NET aplicaci�n mediante Visual C# .NET

306238

(http://support.microsoft.com/kb/306238/ )

C�mo: Implementar Role-Based Security con autenticaci�n basada en formularios en su aplicaci�n ASP.NET mediante Visual Basic .NET

312906

(http://support.microsoft.com/kb/312906/ )

C�mo: Crear claves utilizando Visual C# .NET para uso en autenticaci�n mediante formularios

313091

(http://support.microsoft.com/kb/313091/ )

C�mo: Crear claves utilizando Visual Basic .NET para utilizar en formularios de autenticaci�n

Volver al principio | Enviar comentarios

Propiedades

Id. de art�culo: 813829 - �ltima revisi�n: jueves, 19 de abril de 2007 - Versi�n: 2.5

La informaci�n de este art�culo se refiere a:

Microsoft ASP.NET 1.1

kbmt kbcookie kbwebforms kbauthentication kbsecurity kbconfig kbinfo KB813829 KbMtes

Traducci�n autom�tica

IMPORTANTE: Este art�culo ha sido traducido por un software de traducci�n autom�tica de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece art�culos traducidos por un traductor humano y art�culos traducidos autom�ticamente para que tenga acceso en su propio idioma a todos los art�culos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los art�culos traducidos autom�ticamente pueden contener errores en el vocabulario, la sintaxis o la gram�tica, como los que un extranjero podr�a cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisi�n, error o da�o ocasionado por una mala traducci�n del contenido o como consecuencia de su utilizaci�n por nuestros clientes. Microsoft suele actualizar el software de traducci�n frecuentemente.

Haga clic aqu� para ver el art�culo original (en ingl�s): 813829

(http://support.microsoft.com/kb/813829/en-us/ )

Volver al principio | Enviar comentarios