Impedire a utenti specifici di ottenere l'accesso alle risorse Web specificate

Questo articolo descrive i metodi per limitare l'accesso di utenti specifici alle risorse Web specificate.

Versione originale del prodotto: ASP.NET
Numero KB originale: 815151

Riepilogo

Le applicazioni Web basate su ASP.NET consentono agli utenti di essere autenticati e autorizzati ad accedere alle risorse in molti modi. Il modo in cui si limita l'accesso alle risorse varia a seconda del metodo di autenticazione usato. Ad esempio, per un'applicazione in cui si usa Microsoft autenticazione di Windows e si abilita la rappresentazione, è possibile usare le autorizzazioni per i file NTFS (New Technology File System) per il controllo di accesso. Tuttavia, per un'applicazione in cui si usa l'autenticazione basata su form, è necessario modificare il file Web.config per limitare l'accesso. Questo articolo descrive come controllare l'autorizzazione per entrambi questi metodi di autenticazione ASP.NET.

Controllare l'autorizzazione usando le autorizzazioni per i file

Per ASP.NET applicazioni Web in cui si usa autenticazione di Windows e si abilita la rappresentazione, è possibile usare le autorizzazioni file NTFS standard per richiedere l'autenticazione e limitare l'accesso ai file e alle cartelle:

• Per richiedere l'autenticazione, rimuovere le autorizzazioni di accesso dell'account utente ASPNET per il file o la cartella.
• Per limitare l'accesso a account utente o account di gruppo di Windows specifici, concedere o negare le autorizzazioni di lettura dei file NTFS a file o cartelle.

Controllare l'autorizzazione modificando il file Web.config

Per limitare l'accesso alle applicazioni ASP.NET che usano l'autenticazione basata su form, modificare l'elemento <authorization> nel file diWeb.config dell'applicazione. A tal fine, attenersi alla seguente procedura:

1. Avviare un editor di testo, ad esempio Blocco note, e quindi aprire il file Web.config che si trova nella cartella radice dell'applicazione.

   Nota

   Se il file Web.config non esiste, creare un file diWeb.config per l'applicazione ASP.NET.

2. Se si vuole controllare l'autorizzazione per l'intera applicazione, aggiungere l'elemento <authorization> di configurazione all'elemento <system.web> nel file Web.config .

3. Nell'elemento <authorization> aggiungere l'elemento <allow> di configurazione e l'elemento di <deny> configurazione. Utilizzare l'attributo users per specificare un elenco delimitato da virgole di nomi utente. È possibile usare un punto interrogativo (?) come carattere jolly corrispondente a qualsiasi nome utente. Ad esempio, il codice seguente nega l'accesso a tutti gli utenti tranne user1 e user2:

   <authorization>
       <allow users="user1, user2"/>
       <deny users="?"/>
   </authorization>
   

4. Salvare il file Web.config .

Riferimenti

• Come modificare la configurazione di un'applicazione ASP.NET

• Come creare il file Web.config per un'applicazione ASP.NET

• Come creare impostazioni di configurazione di applicazioni e Directory-Specific in un'applicazione ASP.NET

• Come proteggere le applicazioni basate su .NET Framework