Sécurisation d'une partie d'un site avec un cookie existant et aucun contrôle de connexion

Question

J'ai une petite application Web, et une exigence est de sécuriser seulement une partie du site. Pour entrer le contenu principal, l'utilisateur a deux sélectionner une certaine valeur de chacune des deux listes déroulantes sur la page par défaut, puis accepter certaines conditions générales. Après cela, ils sont redirigés vers une page avec un contenu sensible. Cette page à contenu sensible est censée être sécurisée, à l'aide d'un cookie d'origine utilisé sur l'ensemble du site qui empêche tout accès non autorisé.

Je suis d'accord avec l'utilisation de l'authentification par formulaire, mais comment puis-je sécuriser une partie d'un site sans utiliser un contrôle de connexion?

Merci

Answer 1

Qu'est-ce que vous avez besoin autrement dit est d'assurer une partie du site sans authentification de l'utilisateur? Si le contenu sensible est accessible aux utilisateurs anonymes, alors pourquoi le sécuriser en premier lieu?

Si toutefois tout ce dont vous avez besoin est que l'utilisateur accepte les Termes et Conditions pour voir le contenu sensible, alors il vous suffit d'enregistrer le cookie après que l'utilisateur accepte les termes et conditions, puis le chercher dans chaque page qui présente l'utilisateur avec le contenu sensible. Si l'utilisateur n'a pas le cookie, redirigez-le vers la page Termes et Conditions.

Answer 2

Par exemple Créer un dossier appelé sécurisé. Ajouter un web.config à lui avec les éléments suivants d'autorisation:

<authorization> 
<deny users="?"/> 
</authorization> 

Puis une page où vous déterminez si elles sont autorisés à avoir accès, il suffit d'utiliser:

FormsAuthentication.SetAuthCookie(Guid.NewGuid().ToString(),false) 

De cette façon, vous faites Peu importe le nom d'utilisateur qu'ils utilisent, ils se soucient seulement qu'ils sont autorisés par votre site. Assurez-vous d'avoir la balise de formulaires appropriée dans le web.config principal de votre site.

Espérons que cela aide.

Andrew

Answer 3

Vous pouvez gérer à authentifiées de votre page ou répertoires comme dans votre web.config:

<location path="MySensitiveDirectory"> 
    <system.web> 
    <authorization> 
     <deny users="?" /> 
    </authorization> 
    </system.web> 
</location> 

More information sur les éléments de localisation dans web.config

Answer 4

Si vous n » Si vous souhaitez utiliser un contrôle de connexion, vous pouvez créer votre propre formulaire FormsAuthenticationTicket en réponse à l'acceptation par l'utilisateur de vos conditions d'utilisation.

Un exemple de code est ici: http://authors.aspalliance.com/aspxtreme/sys/web/security/FormsAuthenticationTicketClass.aspx