nakon jedne duze pauze, ponovo se vratih ne web development. Radim jedan manji portal na kojem imam registraciju korisnika kao i logiranje. Za logiranje koristim gotovu kontrolu "Login" iz frameworka 4.0 i vs .net 2010. Korisnicki podaci se provjeravaju u bazi(sql server 2008).
Interesuje me sljedece, posto kada provjerim korisnika koji se postoji registrovan u bazi, ja setujem samo ovo:
Code:
FormsAuthentication.RedirectFromLoginPage(txtUser.Text, true);
FormsAuthentication.RedirectFromLoginPage(txtUser.Text, true);
Po onome sto procitah, ovo dodje nesto "cookies"/sesija tj ne moram se svaki put ponovo logirati kada se vratim.
U web.config sam dalje konfigurisao koje stranice su dostupne bez authentikacije i one za koje treba authentikacija.
Code:
<location path="MyOrders.aspx">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
</location>
<location path="MyOrders.aspx">
<system.web>
<authorization>
<deny users="?"/>
</authorization>
</system.web>
</location>
Naravno naveo sam i defaultnu stranicu tj login page u slucaju da korisnik nije logovan, tako da se uvijek tamo redirektuje.
Ineteresuje me sada vise stvari:
1) Da li trebam praviti sesiju i zasto, ako vec imam ovo gore?
2) Na koji nacin i da li uopce na svakoj stranici kojoj pristupam, iako je za istu naveden "rule" u web.config, trebam provjeravati da li je korisnik prijavljen tj logovan, otprilike ovako:
Code:
If User.Identity.IsAuthenticated Then
' Good For You...
else
' Not So Good...
End if
If User.Identity.IsAuthenticated Then
' Good For You...
else
' Not So Good...
End if
ili mozda ovako
Code:
If HttpContext.Current.Request.IsAuthenticated
''' put code for Authenticated user
End If
If HttpContext.Current.Request.IsAuthenticated
''' put code for Authenticated user
End If
3) Ako pod 1) ne moram kreirati sesiju sa korisnickim podacima prilikom logiranja, na koji nacin mogu pratiti sta je koji korisnik radio na stranici, npr sta je kliknuo, koju sp je pozvao i sl.
Nadam se da nije mnogo pitanja od jednom, ali mi je ovaj dio security-a jako bitan.
Hvala za svaku pomoc, a naravno i sve sugestije i vasa iskustva oko sigurnosti stranice.
Pozz