Ciao,

sto facendo alcune pagine web di consultazione archivi su SQL.

Vorrei fare in modo che l'accesso ad alcune pagine con informazioni finanziarie sia limitato ad una serie di utenti.

Come autenticazione uso quella di Windows

<authentication mode="Windows"/>

Ho messo le pagine in una cartella apposta, come posso fare per evitare che le veda chiunque ?

Grazie.

Max.

Qui trovi un mio articolo che ti può essere utile:
http://www.dotnetwork.it/Articoli/tabid/62/ctl/Details/mid/447/ItemID/7/Default.aspx

Per la cartella in cui tieni i dati da proteggere potresti dare l'accesso IIS di tipo "Autenticazione Basic" e dare i permessi ACL windows di lettura solo ai clients che per accedere alla cartella si autenticano con tale utente.

In pratica:
-in IIS sulla cartella che vuoi proteggere dai l'accesso "Autenticazione Basic".
-Crei un utente windows "pippo"
-Assegni le ACL (Access control list) alla cartella fisica in modo che solo "pippo" possa leggere.
-Il client si connette e gli viene chiesto di indetificarsi
-Lo user del client mette il nome "pippo" e la password
-Può accedere alla risorsa.

Rileggendolo mi ricordavo dell'articolo. Ho imparato alcune cosine nuove facendo i vari tentativi.

Alla fine pero' ho optato per una soluzione "custom".

Mi recupero il nome dell'utente tramite:

Page.User.Identity.Name

poi verifico se quell'utente e' abilitato alla pagina (ho gia' una tabella con le autorizzazioni che uso nelle vecchie pagine asp.
Volendo posso abilitare la pagina ad un intero gruppo verificando l'appartenenza con

If Page.User.IsInRole("administrators") Then

End If

Grazie per l'aiuto.

Max.

Ricorda però che se l'utente è autorizzato all'accesso al file fisico lo scarica puntandolo direttamente se non è protetto via ACL.

Nel mio caso gli utetni non possono accedere via filesystem alla cartella, quindi il file e' al sicuro, almeno dalla copia.

Nel caso di accesso via http ho messo (e mettero') sulle pagine che intendo proteggere il controllo nell'evento Page_load, in modo tale che chi non ha accesso venga reindirizzato ad una pagina di accesso negato.

Questo il codice che ho messo:

Protected Sub Page_Load(ByVal sender As Object, ByVal e As System.EventArgs) Handles Me.Load
If Not CheckPermission.CheckGroup("Amministrazione", Page) And _
Not CheckPermission.CheckGroup("Direzione", Page) And _
Not CheckPermission.CheckGroup("Administrators", Page) Then
Response.Redirect("~/NonAutorizzato.aspx", True)
End If
End Sub

CheckPermission e' una classe statica con una funzione (per ora) che controlla l'appartenenza al gruppo indicato:

Public Class CheckPermission
Public Shared Function CheckGroup(ByVal gruppo As String, ByVal page As System.Web.UI.Page) As Boolean
Return page.User.IsInRole(gruppo)
End Function
End Class

conto di fare poi una funzione che legge da una tabella l'autorizzazione per pagina / utente.

So che non e' elegante, pero' funziona...

Grazie mille.

Max.