Impedir que usuarios específicos obtengan acceso a recursos web especificados

En este artículo se describen métodos sobre cómo impedir que usuarios específicos obtengan acceso a los recursos web especificados.

              Versión original del producto: ASP.NET
Número de KB original: 815151

Resumen

Las aplicaciones web basadas en ASP.NET proporcionan muchas maneras de autenticar y autorizar a los usuarios para obtener acceso a los recursos. La manera en que restrinja el acceso a los recursos varía en función del método de autenticación que use. Por ejemplo, para una aplicación en la que se usa Microsoft autenticación de Windows y se habilita la suplantación, puede usar permisos de archivo del sistema de archivos de nueva tecnología (NTFS) para el control de acceso. Sin embargo, para una aplicación en la que se usa la autenticación de formularios, debe modificar el archivo Web.config para restringir el acceso. En este artículo se describe cómo controlar la autorización de estos dos métodos de autenticación ASP.NET.

Control de la autorización mediante permisos de archivo

Para ASP.NET aplicaciones web en las que use autenticación de Windows y habilite la suplantación, puede usar permisos de archivo NTFS estándar para requerir autenticación y restringir el acceso a los archivos y carpetas:

• Para requerir autenticación, quite los permisos de acceso de la cuenta de usuario ASPNET para el archivo o carpeta.
• Para restringir el acceso a cuentas de usuario o cuentas de grupo de Windows específicas, conceda o deniegue permisos de lectura de archivos NTFS a archivos o carpetas.

Controlar la autorización modificando el archivo Web.config

Para restringir el acceso a ASP.NET aplicaciones que usan la autenticación de formularios, edite el <authorization> elemento en el archivo Web.config de la aplicación. Para ello, siga estos pasos:

1. Inicie un editor de texto, como el Bloc de notas, y abra el archivo Web.config que se encuentra en la carpeta raíz de la aplicación.

   Nota:

   Si el archivo Web.config no existe, cree un archivo Web.config para la aplicación ASP.NET.

2. Si desea controlar la autorización para toda la aplicación, agregue el <authorization> elemento de configuración al <system.web> elemento en el archivo Web.config .

3. En el <authorization> elemento , agregue el <allow> elemento configuration y el <deny> elemento configuration. Use el users atributo para especificar una lista delimitada por comas de nombres de usuario. Puede usar un signo de interrogación (?) como carácter comodín que coincida con cualquier nombre de usuario. Por ejemplo, el código siguiente deniega el acceso a todos los usuarios excepto user1 y user2:

   <authorization>
       <allow users="user1, user2"/>
       <deny users="?"/>
   </authorization>
   

4. Guarde el archivo Web.config .

Referencias

• Cómo editar la configuración de una aplicación ASP.NET

• Creación del archivo Web.config para una aplicación ASP.NET

• Cómo establecer la configuración de la aplicación y Directory-Specific en una aplicación de ASP.NET

• Protección de aplicaciones basadas en .NET Framework