analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
analisi e gestione della sicurezza di una complessa applicazione ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
CAPITOLO IV - La <strong>sicurezza</strong> nelle web applications<br />
user account abbia i <strong>di</strong>ritti necessari per portare a termine ciò che tenta <strong>di</strong> fare; la stessa cosa<br />
deve accadere in un’<strong>applicazione</strong> Asp.NET.<br />
Per comprendere in modo adeguato quanto sia potente l’approccio usato da Asp.NET, è<br />
necessario per prima cosa aprire <strong>una</strong> piccola parentesi sui meccanismi <strong>di</strong> autenticazione<br />
utilizzati, che rappresentano la base su cui Membership e Roles API si poggiano.<br />
Questi componenti non fanno altro che utilizzare un pezzo dell’architettura <strong>di</strong> HttpRuntime,<br />
cioè del cuore <strong>di</strong> Asp.NET, chiamato HttpModule.<br />
Asp.NET è provvisto <strong>di</strong> tre HttpModule specifici, ognuno per la <strong>di</strong>fferente tipologia <strong>di</strong><br />
autenticazione, <strong>di</strong> cui il nome già rappresenta un’in<strong>di</strong>cazione:<br />
• FormsAuthenticationModule<br />
• WindowsAuthenticationModule<br />
• PassportAuthenticationModule<br />
Il primo è rivolto essenzialmente a siti pubblici che non rientrano nell’ambito delle Intranet, per<br />
le quali è consigliabile il secondo. L’ultimo, specifico per Passport, è ad uso e consumo <strong>di</strong><br />
Microsoft.<br />
4.5.2 L’utente in Asp.NET: Principal e Identity<br />
Asp.NET utilizza due classi per rappresentare le informazioni relative all’utente, che sono<br />
implementate in maniera tale da essere in<strong>di</strong>pendenti dal tipo <strong>di</strong> autenticazione: Principal e<br />
Identity.<br />
71