Para que serve o Web.Config?

Web.Config � um arquivo especial que configura o comportamento de sua aplica��o ASP.NET e est� no formato XML podendo ser editado facilmente com um editor comum, como o bloco de notas.

Cada aplicativo Web que voc� cria, pode ter o seu pr�prio arquivo Web.Config, e as informa��es deste arquivo valem para o diret�rio corrente e seus subdiret�rios.

Visualizando


<?xml version="1.0" encoding="UTF-8" ?>
	<configuration>
 		<system.web>
 		</system.web>
	</configuration>

Configura��es de seguran�a

Autentica��o � o processo de identifica��o positiva dos clientes do aplicativo. Esses clientes podem incluir usu�rios, servi�os, processos ou computadores. Os clientes autenticados s�o chamados elementos de seguran�a. A autentica��o ocorre em todas as camadas de um aplicativo da Web distribu�do. Inicialmente os usu�rios finais s�o autenticados pelo aplicativo da Web, em geral com um nome de usu�rio e uma senha. Eles realizam a autentica��o para validar e processar a solicita��o.

Autoriza��o � o processo que controla a quais recursos e opera��es o cliente autenticado ter� permiss�o de acesso. Esses recursos incluem arquivos, bancos de dados, tabelas, linhas etc., juntamente com os recursos no n�vel do sistema, como chaves do Registro e dados de configura��o.

Hierarquia

Modos de autentica��o do ASP.NET

Os modos de autentica��o do ASP.NET s�o Windows, baseada em formul�rio, Passport e Nenhuma.

Autentica��o do Windows. Nesse modo de autentica��o, o ASP.NET depende do IIS para autenticar usu�rios e criar um s�mbolo de acesso do Windows visando representar a identidade autenticada. O IIS fornece os seguintes mecanismos de autentica��o:

Autentica��o b�sica. A autentica��o b�sica requer que o usu�rio forne�a credenciais na forma de nome de usu�rio e senha para provar sua identidade. As credenciais do usu�rio s�o transmitidas do navegador para o servidor Web em um formato codificado n�o criptografado Base64. Como o servidor Web obt�m as credenciais n�o criptografadas do usu�rio, ele pode emitir chamada remota (por exemplo, para acessar computadores e recursos) usando as credenciais do usu�rio.
Autentica��o resumida. A autentica��o resumida, lan�ada com o IIS 5.0, � semelhante � autentica��o b�sica, exceto que em vez de transmitir as credenciais do usu�rio n�o criptografadas do navegador para o servidor Web, ela transmite um hash das credenciais. Conseq�entemente, ela � mais segura, embora requeira o Internet Explorer 5.0 ou um cliente mais recente e configura��es espec�ficas do servidor.
Autentica��o integrada do Windows. A autentica��o integrada do Windows (Kerberos ou NTLM dependendo da configura��o do cliente e do servidor) usa troca criptogr�fica com o Internet Explorer do usu�rio para confirmar a identidade deste. Somente o Internet Explorer tem suporte para ela (o Netscape Navigator n�o), assim, ela costuma ser usada apenas em cen�rios de Intranet, onde o software cliente pode ser controlado. Ela � usada apenas pelo servidor Web se o acesso an�nimo estiver desativado ou for negado pelas permiss�es do sistema de arquivos do Windows.
Autentica��o de certificado. A autentica��o de certificado usa os certificados de cliente para identificar positivamente os usu�rios. O certificado de cliente � passado pelo navegador do usu�rio (ou aplicativo cliente) para o servidor Web. (No caso dos Web Services, o cliente passa o certificado por meio de uma propriedade ClientCertificates do objeto HttpWebRequest). Ent�o, o servidor Web extrai a identidade do usu�rio do certificado. Essa abordagem depende de um certificado de cliente estar instalado no computador do usu�rio e, portanto, ela costuma ser mais usada em cen�rios de Intranet ou Extranet, onde a popula��o de usu�rios � bem conhecida e controlada. O IIS, ao receber um certificado de cliente, pode mape�-lo para uma conta do Windows.
Autentica��o an�nima. Caso voc� n�o necessite autenticar os clientes (ou implementar um esquema personalizado de autentica��o), o IIS poder� ser configurado para a autentica��o an�nima. Nesse caso, o servidor Web cria um s�mbolo de acesso do Windows para representar todos os usu�rios an�nimos com a mesma conta an�nima (ou de convidado). A conta an�nima padr�o � a iusr_nomedamaquina, onde nomedamaquina � o nome NetBIOS do computador especificado durante a instala��o.
Autentica��o Passport. Nesse modo de autentica��o, o ASP.NET usa os servi�os de autentica��o centralizados do Microsoft Passport. O ASP.NET fornece uma funcionalidade alternativa conveniente atrav�s do SDK (kit de desenvolvimento de software) do Microsoft Passport, que deve ser instalado no servidor Web.
Autentica��o baseada em formul�rio. Esse m�todo usa redirecionamento do cliente para encaminhar usu�rios n�o autenticados a um formul�rio HTML especificado que permite inserir as credenciais (geralmente o nome de usu�rio e senha). Essas credenciais s�o validadas e uma permiss�o de autentica��o � gerada e retornada ao cliente. A permiss�o de autentica��o mant�m a identidade do usu�rio e, opcionalmente, uma lista de fun��es das quais ele � membro durante toda a sess�o. A autentica��o baseada em formul�rio algumas vezes � usada exclusivamente para a personaliza��o do site. Nesse caso, � necess�rio gravar poucos c�digos personalizados, pois o ASP.NET trata a maior parte do processo automaticamente com uma configura��o simples. Nos cen�rios de personaliza��o, o cookie precisa manter apenas o nome do usu�rio.

A autentica��o baseada em formul�rio envia o nome do usu�rio e a senha ao servidor Web em texto sem formata��o. Portanto, voc� deve usar a autentica��o baseada em formul�rio em conjunto com um canal protegido por SSL. Para uma prote��o cont�nua do cookie de autentica��o transmitido nas solicita��es subseq�entes, � necess�rio considerar o uso de SSL em todas as p�ginas do aplicativo e n�o apenas na p�gina de logon.

Nenhuma. Nenhuma indica que voc� n�o quer autenticar usu�rios ou que est� usando um protocolo de autentica��o personalizado.


<?xml version="1.0" encoding="UTF-8" ?>
<configuration>
	<system.web>
		<authentication mode="Windows"/>
		<authorization>
			<allow users="server\administrado,server\user1,server\user2" />
			<deny users="*" />
		</authorization>
	</system.web>
</configuration>

Configurar IIS

Desabilitar conta an�nima.
Habilitar Autentica��o b�sica.
Habilitar Autentica��o integrada do Windows.

Criar usu�rios

user1 - 123123
user2 - 123123

Geral no web.config

Como todo arquivo XML,este possui marcas ou tag. A principal destas Tags � a <configuration>, que abrange dentro dela todas as demais configura��es de sua m�quina.

Dentro do elemento <configuration>, temos o elemento <system.web>, que cont�m informa��es de como a sua aplica��o deve manipular os processos de um aplicativo ASP.NET. Algumas op��es de <system.web> s�o: <compilation>, que instrui como a m�quina deve compilar o seu programa.NET. Desta forma, a linha <compilation strict="true" explicit="true" /> instrui o compilador a gerar erros se encontrar alguma vari�vel n�o declarada (explicit="true"), e a n�o fazer convers�o autom�tica de tipos de dados (strict="true"). S�o equivalentes as op��es Option Explicit e Option Strict das aplica��es VB/Access de vers�es anteriores. H� ainda a op��o de gerar informa��es de depura��o (em outras palavras, executar com debug), atrav�s da linha <compilation debug="true" />.

Note que voc� pode inserir v�rios atributos na mesma tag. Se voc� fosse configurar a sua aplica��o com os dois �ltimos par�metros apresentados, deveria ter a linha <compilation strict="true" explicit="true" debug="true" />.

Um outro elemento bastante utilizado � o <customErrors>, que instrui o que programa deve fazer em caso de erros. Para simplesmente redirecionar a aplica��o no caso de ocorrer algum erro, basta acrescentar a seguinte linha: <customErrors defaultRedirect="PaginaDeErro.aspx" /> que ir� redirecionar a execu��o da aplica��o para a p�gina PaginaDeErro.aspx. Note que esta p�gina � uma p�gina ASP.NET como qualquer outra, e atrav�s do uso de eventos e controles, voc� pode tratar este erro, gerar um log, enviar um email para o administrador, entre outras coisas. O exemplo acima transfere a execu��o para esta p�gina no caso de qualquer erro, mas podemos parametrizar este elemento para gerar redirecionamentos para p�ginas espec�ficas, de acordo com o tipo de erro, conforme o c�digo a seguir:


<customErrors mode="RemoteOnly">
<error statusCode="403" redirect="AcessoRestrito.aspx" />

</customErrors>

Esta linha que acabamos de ver tamb�m mostra um outro atributo interessante do elemento <customErrors>, que � o RemoteOnly. Quando voc� configura este atributo para RemoteOnly, voc� faz com que os erros continuem surgindo em sua m�quina local, mas que gerem redirecionamentos espec�ficos para o usu�rio remoto. Muito �til para desenvolvimento. Por �ltimo. h� ainda a op��o customErrors="Off", que faz com que o ASP.NET apresente o erro para qualquer usu�rio, sem nenhum redirecionamento ou tratamento. <customErrors ="off"> esta op��o � ideal quando estamos na etapa de desenvolvimento, pois n�o mascara o erro.

Importante: N�o confunda este tratamento de erros com o tratamento Try...Catch...Finnaly, utilizado na codifica��o. O Try...Catch...Finnaly � utilizado para tratamento de erros de exce��o do .NET Framework, enquanto o elemento customErrors � utilizado para manipular os erros HTTP do seu servidor web.

Um outro elemento que pode ser bastante �til � o <sessionState>. Com o sessionState, podemos configurar a aplica��o Web para distribuir o controle de sess�o para uma outra m�quina ou servi�o


<sessionState mode="StateServer" stateConnectionString="tcpip=www.OutraMaquina.com" />

<sessionState mode="StateServer" sqlConnectionString="tcpip=200.246.33.11:42333" />

O primeiro exemplo orienta a aplica��o web a utilizar a m�quina http://www.outramaquina.com/ para o armazenamento e gerenciamento das sess�es. O segundo exemplo, orienta a aplica��o para utilizar o SQL Server da m�quina 200.246.33.11 (porta 42333) para gerenciar estas sess�es. Estes exemplos evidentemente podem tornar a aplica��o mais lenta, uma vez que utilizam uma nova comunica��o para o gerenciamento do site, mas s�o excelentes quando voc� tem um volume excessivo de conex�es simult�neas ou necessita de maior seguran�a de manuten��o dos estados de sess�o. Perde-se em velocidade, mas ganha-se em seguran�a.

Existem ainda os elementos de autentica��o e autoriza��o de um aplicativo web. Eles s�o respectivamente os elementos <authentication> e <authorization>. O authentication aceita quatro tipos diferentes de valores: none, Windows, Passport e Forms, como esse exemplo: <authentication mode="Windows" />.

Quando o atributo mode="none", nenhum tipo de autentica��o � realizada. A autentica��o Windows � ideal para intranets, pois utiliza do pr�prio sistema de seguran�a do Windows para identificar um usu�rio. �, contudo, pouco indicada para a internet, onde temos um n�mero muito elevado de usu�rios. Para esses casos a autentica��o baseada em formul�rios � a ideal, onde voc� pode especificar o form que se responsabilizar� de identificar do usu�rio, como o exemplo a seguir:


<authentication mode="Forms">
<forms name="401kApp" loginUrl="/login.aspx" />
</authentication>

Por ultimo, a autentica��o Passport � bem parecida com a autentica��o baseada em forms, mas utiliza os servidores da Microsoft para essa finalidade.

A autentica��o serve para identificar o usu�rio, j� a autoriza��o serve para informar o aplicativo se este possui direitos de acesso sobre o recurso solicitado. A autentica��o possui dois elementos auxiliares, o <allow> e o <deny>, que como os pr�prios nomes indicam, servem para habilitar ou desabilitar um usu�rio (ou grupos de usu�rios) para um determinado recurso.

Um exemplo de autentica��o seria:


<authorization>
<allow users="*" />
</authorization>

Este exemplo habilita todos os usu�rios a utilizarem a aplica��o. Note que o caracter asterisco significa todos os usu�rios. H� ainda o caracter ponto de interroga��o, que significa todos os usu�rios an�nimos. O exemplo abaixo nega autoriza��o a qualquer usu�rio an�nimo.


<authorization>
<deny users="?" />
</authorization>

Voc� pode combinar mais de um elemento allow e deny dentro do elemento authorization. O .NET l� os elementos allow e deny de cima para baixo, de forma que se encontrar qualquer regra que impe�a a utiliza��o do recurso, ele retorna para a aplica��o invalidando o acesso. Desta forma, o exemplo abaixo nega autoriza��o a qualquer usu�rio n�o autenticado. Se ele j� estiver autenticado, ent�o a aplica��o permite que ele utilize o recurso, seja l� quem ele for.


<authorization>
<deny users="?" />
<allow users="*" />
</authorization>

Existem ainda muitos atributos para os elementos authentication e authorization, pois o uso destes elementos � bastante flex�vel. Um �ltimo elemento que eu gostaria de citar � o elemento <appSettings>, tamb�m localizado abaixo do elemento configuration, que serve para armazenas valores n�o vol�teis do seu aplicativo web. Em exemplo seria


<appSettings>
<add key="NomeDoAplicativo" value="Super Aplicativo de Gest�o Empresarial" />
</appSettings>

Voc� pode ter v�rios elementos add dentro do seu elemento appSettings, de forma que eles funcionam como constantes globais do seu aplicativo. Para utilizar estes valores, voc� pode ter um c�digo como a exemplificado a seguir:


Label1.Text = System.Configuration.ConfigurationSettings
.AppSettings("NomeDoAplicativo")

Esta funcionalidade � muito semelhante as fun��es GetSetting e SaveSetting do Visual Basic de vers�es anteriores. � um lugar excelente para voc� armazenar informa��es de conex�o com um banco de dados, por exemplo.


<appSettings>
<add key="ConnectionString" 
value="Data Source=localhost; Initial Catalog=NorthWind" />
</appSettings>

Por �ltimo, gostaria de inserir um exemplo de arquivo web.config simples, apenas para voc� ter uma id�ia geral de como ele se parece:


<?xml version="1.0" encoding="utf-8"?>

<configuration>

<appSettings>
<add key="ConnectionString" value="Provider=Microsoft.Jet.OLEDB.4.0;Data 
Source=C:\MySystem\Database.mdb;Persist Security Info=False" />
</appSettings>

<system.web>

<compilation debug="true" defaultLanguage="vb" explicit="true" batch="true" 
batchTimeout="15" maxBatchSize="1000" maxBatchGeneratedFileSize="3000" 
numRecompilesBeforeAppRestart="15" strict="false" />

<authentication mode="Forms">
<forms name=".ASPXAUTH" protection="All" timeout="60" 
loginUrl="default.aspx" path="/" />
</authentication>

<authorization>
<deny users="?" />
</authorization>

<httpRuntime useFullyQualifiedRedirectUrl="true" executionTimeout="90" 
maxRequestLength="4096" minFreeThreads="8" minLocalRequestFreeThreads="4" 
appRequestQueueLimit="100" />

<deviceFilters>
<filter name="isJScript" compare="javascript" argument="true" />
<filter name="isPocketIE" compare="browser" argument="Pocket IE" />
<filter name="isHTML32" compare="preferredRenderingType" argument="html32" />
</deviceFilters>

<customErrors mode="Off" />

</system.web>

</configuration>

Tecnologias:

Confira outros conte�dos:

Teste unit�rio com NUnit

Como migrar projetos do ASP.NET MVC...

Crie relat�rios com o Stimulsoft...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Cleiton Em 2007

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso