Restringir usuários específicos de obter acesso a recursos Web especificados

Este artigo descreve métodos sobre como restringir usuários específicos de obter acesso a recursos Web especificados.

Versão original do produto: ASP.NET
Número de KB original: 815151

Resumo

Aplicativos Web baseados em ASP.NET fornecem várias maneiras de os usuários serem autenticados e autorizados a obter acesso aos recursos. A maneira como você restringe o acesso aos recursos varia, dependendo do método de autenticação que você usa. Por exemplo, para um aplicativo em que você usa o Microsoft autenticação do Windows e habilita a representação, você pode usar permissões de arquivo NTFS (New Technology File System) para controle de acesso. No entanto, para um aplicativo em que você usa a autenticação de formulários, você deve modificar o arquivo Web.config para restringir o acesso. Este artigo descreve como controlar a autorização para ambos os métodos de autenticação ASP.NET.

Controlar a autorização usando permissões de arquivo

Para ASP.NET aplicativos Web em que você usa autenticação do Windows e habilita a representação, você pode usar permissões de arquivo NTFS padrão para exigir autenticação e restringir o acesso aos arquivos e pastas:

• Para exigir autenticação, remova as permissões de acesso da conta de usuário ASPNET para o arquivo ou pasta.
• Para restringir o acesso a contas de usuário ou contas de grupo específicas do Windows, conceda ou negue permissões de arquivo NTFS de leitura para arquivos ou pastas.

Controlar a autorização modificando o arquivo Web.config

Para restringir o acesso a aplicativos ASP.NET que usam autenticação de formulários, edite o <authorization> elemento no arquivo Web.config do aplicativo. Para fazer isso, siga estas etapas:

1. Inicie um editor de texto, como o Bloco de Notas, e abra o arquivoWeb.config localizado na pasta raiz do aplicativo.

   Observação

   Se o arquivo Web.config não existir, crie um arquivo Web.config para o aplicativo ASP.NET.

2. Se você quiser controlar a autorização para todo o aplicativo, adicione o <authorization> elemento de configuração ao <system.web> elemento no arquivo Web.config .

3. <authorization> No elemento, adicione o <allow> elemento de configuração e o <deny> elemento de configuração. Use o users atributo para especificar uma lista delimitada por vírgulas de nomes de usuário. Você pode usar um ponto de interrogação (?) como um caractere curinga que corresponda a qualquer nome de usuário. Por exemplo, o código a seguir nega o acesso a todos os usuários, exceto user1 :user2

   <authorization>
       <allow users="user1, user2"/>
       <deny users="?"/>
   </authorization>
   

4. Salve o arquivo Web.config .

Referências

• Como editar a configuração de um aplicativo ASP.NET

• Como criar o arquivo de Web.config para um aplicativo ASP.NET

• Como criar configurações de configuração de aplicativos e Directory-Specific em um aplicativo ASP.NET

• Como proteger aplicativos criados no .NET Framework