Seguran�a em aplica��es .NET: utilizando o provider ASP.NET Membership

Muitas aplicaç�es podem manipular em algum momento informaç�es de car�ter restrito, sobretudo quando se consideram sistemas direcionados ao ambiente corporativo. Em tais casos existir� uma forte preocupaç�o no que se refere � privacidade dos dados, procurando-se evitar com isto o acesso n�o autorizado a funcionalidades de um software.

Estabelecer regras limitando o acesso a recursos � um procedimento rotineiro no mundo do desenvolvimento de softwares, principalmente em soluç�es concebidas para a utilizaç�o a partir de redes (sejam privadas ou, mesmo, a partir da pr�pria Internet). A implementaç�o de controles visando garantir a segurança de um sistema deve levar em conta alguns conceitos gerais:

Confidencialidade: ideia que gira em torno da necessidade de garantir a privacidade de um conjunto de informaç�es, impedindo que pessoas n�o autorizadas tomem conhecimento de dados sigilosos de forma inadvertida;
Integridade: � a garantia de que os dados que est�o sendo manipulados por uma aplicaç�o n�o ser�o alterados de forma deliberada;
Autenticaç�o: processo no qual um usu�rio apresenta sua identificaç�o (normalmente um login e uma senha correspondente) junto a um mecanismo de validaç�o, o qual tem por responsabilidade conceder ou n�o o acesso �s diferentes funcionalidades de uma aplicaç�o;
Autorizaç�o: uma vez que um usu�rio passe pela etapa de autenticaç�o, este procedimento determina se o mesmo ter� ou n�o acesso a uma determinada funç�o do sistema em quest�o. A verificaç�o de quem conseguir� utilizar uma funcionalidade ou informaç�o pode envolver tanto a checagem de logins/contas individuais, quanto a an�lise de grupos de usu�rios (roles) aos quais uma pessoa esteja associada.

A criaç�o de um mecanismo que gerencie o acesso de usu�rios a uma aplicaç�o costuma demandar um tempo consider�vel, com o produto desse esforço podendo estar sujeito a vulnerabilidades n�o diagnosticadas num primeiro instante. Se realmente existirem falhas nos m�dulos que controlam a segurança de um sistema, as consequ�ncias poder�o ser desastrosas, causando danos � imagem de uma organizaç�o, al�m de prov�veis preju�zos financeiros e problemas legais.

Procurando oferecer uma alternativa simples e r�pida para a segurança de aplicaç�es ASP.NET, a Microsoft desenvolveu um provider conhecido como ASP.NET Membership. Trata-se de um conjunto de recursos voltados ao gerenciamento de regras de acesso, contas e perfis de usu�rios, sendo que este mecanismo pode utilizar como reposit�rios de informaç�es as seguintes fontes:

Um banco de dados SQL Server;
O recurso Active Directory do Windows;
Um provider customizado desenvolvido em atendimento a uma finalidade espec�fica.

Maiores informaç�es sobre o ASP.NET Membership podem ser obtidas atrav�s do link:

http://msdn.microsoft.com/en-us/library/tw292whz(v=vs.100).aspx

Muito embora tenha sido projetado para soluç�es Web, o ASP.NET Membership pode ser facilmente integrado a outros tipos de aplicaç�es .NET (como Windows Forms). Isto contribui, sem sombra de d�vidas, para uma maior produtividade no desenvolvimento de novos sistemas, desonerando os programadores de tarefas como a implementaç�o de toda uma l�gica de controle de acessos/gerenciamento de usu�rios.

O objetivo deste artigo � demonstrar, em termos gerais, como o ASP.NET Membership pode ser configurado para uso em projetos .NET. Al�m disso, ser�o apresentadas algumas das classes e estruturas que permitem o acesso �s funcionalidades fornecidas por este provider.

Configurando as estruturas do ASP.NET Membership em um banco de dados SQL Server

Disponibilizado a partir da vers�o 2.0 do .NET Framework, o provider Membership foi concebido inicialmente para uso em aplicaç�es Web, conforme j� mencionado anteriormente. A menos que definido explicitamente no arquivo Web.config de um projeto, o acesso � funcionalidade conhecida como �Web Site Administration Tool� (menu �Project� > opç�o �ASP.NET Configuration� do Visual Studio) costuma gerar um banco de dados que contempla toda a estrutura requerida pelo ASP.NET Membership.

Para efeitos de testes, esta � certamente uma boa opç�o. No entanto, em cen�rios que envolvam a utilizaç�o desse mecanismo de segurança num ambiente de produç�o, muito provavelmente existir� um banco de dados que precisar� ser configurado com todos os elementos esperados pelo ASP.NET Membership.

A fim de demonstrar como este ajuste pode ser realizado, estaremos considerando um banco de dados chamado TesteMembership. A Figura 1 apresenta a estrutura desta base antes da geraç�o dos elementos de controle de acesso, sendo poss�vel observar a exist�ncia de tr�s tabelas.

Figura 1: Estrutura do banco de dados TesteMembership antes do ajuste

Para a criaç�o dos objetos de banco de dados necess�rios � utilizaç�o do provider Membership ser� necess�rio, primeiramente, acionar o utilit�rio Aspnet_regsql.exe a partir do prompt de comando do Visual Studio 2012 (no Windows 7: Menu Iniciar > Microsoft Visual Studio 2012 > Visual Studio Tools > Developer Command Prompt for VS2012). Na Figura 2 � poss�vel ver o prompt em execuç�o.

Figura 2: Prompt de comando do Visual Studio 2012

O Aspnet_regsql.exe � uma ferramenta que permite criar (ou ainda remover) os objetos usados pelo ASP.NET Membership em uma base de dados SQL Server. Para isto, o mesmo apresenta um wizard a partir do qual � poss�vel selecionar a base de dados de destino (Figura 3).

Figura 3: Executando o utilit�rio Aspnet_regsql.exe

Ao se clicar no bot�o �Next�, ser� exibida uma tela similar �quela que consta na Figura 4. Manter selecionada a opç�o �Configure SQL Server for application services�, clicando em seguida no bot�o �Next�.

Figura 4: Selecionando opç�o para a configuraç�o do ASP.NET Membership em uma base SQL Server

Na janela que aparecer� neste momento (Figura 5) preencher as configuraç�es para acesso � base TesteMembership. Executar em seguida a opç�o �Next�.

Figura 5: Selecionando uma base de dados via Aspnet_regsql.exe

Confirmar ent�o a realizaç�o dos ajustes na base TesteMembership, clicando no bot�o �Next� da tela que � apresentada na Figura 6.

Figura 6: Confirmando a realizaç�o de ajustes no banco TesteMembership

Conclu�do o acerto da base TesteMembership, ser� apresentada uma janela que indica que este processo transcorreu com sucesso (Figura 7).

Figura 7: T�rmino dos ajustes no banco de dados TesteMembership

OBSERVAÇ�O: A geraç�o das estruturas utilizadas pelo ASP.NET Membership tamb�m pode ser efetuada em uma base de dados voltada exclusivamente para este fim (e que, portanto, n�o conta com nenhum outro tipo de objeto que tenha sido previamente criado no mesmo).

Acessando a base de dados TesteMembership via SQL Server Management Studio (Figura 8), ser� poss�vel observar a exist�ncia de diversas tabelas cujo nome se inicia por �aspnet_� (essas s�o algumas das estruturas utilizadas pelo provider Membership).

Figura 8: Banco de dados TesteMembership com as estruturas do ASP.NET Membership j� criadas

Configurando a utilizaç�o do ASP.NET Membership em uma aplicaç�o

Aplicaç�es que venham a utilizar o ASP.NET Membership como mecanismo para controle de acesso de usu�rios dever�o, obrigatoriamente, referenciar as bibliotecas System.Web.dll e System.Web.ApplicationServices.dll (Figura 9). Por mais que estes arquivos estejam normalmente associados a soluç�es Web, faz-se necess�ria a inclus�o dos mesmos em outros tipos de projetos que dependam do provider Membership.

Figura 9: Adicionando refer�ncias a bibliotecas requeridas pelo ASP.NET Membership

Al�m disso, algumas alteraç�es dever�o ser efetuadas no arquivo de configuraç�o da aplicaç�o considerada. Na Listagem 1 est�o indicados quais itens dever�o inclu�dos, a fim de possibilitar com isso o uso dos mecanismos de autenticaç�o e autorizaç�o disponibilizados pelo provider Membership:

O primeiro dos elementos que dever� ser declarado � uma string de conex�o, com a mesma apontando para a base em que foram criados os objetos requeridos pelo ASP.NET Membership (no nosso exemplo, o banco de dados TesteMembership).

Na sequ�ncia, incluir dentro do item system.web os elementos:

roleManager: configuraç�es utilizadas no processo de autorizaç�o (controle de acesso a recursos de um sistema);
membership: definiç�es relativas � autenticaç�o de usu�rios.

Listagem 1: Ajustes a serem realizados no arquivo de configuraç�o


<?xml version="1.0" encoding="utf-8" ?>
<configuration>

  ...

  <connectionStrings>
    <add name="TesteMembership"
         providerName="System.Data.SqlClient"
         connectionString="Data Source=.;Initial Catalog=TesteMembership;Integrated Security=True;"/>
  </connectionStrings>

  ...

  <system.web>
    <roleManager
      defaultProvider="SqlProvider"
      enabled="true">
      <providers>
        <clear />
        <add
          name="SqlProvider"
          type="System.Web.Security.SqlRoleProvider"
          connectionStringName="TesteMembership"
          applicationName="TesteMembership" />
      </providers>
    </roleManager>
    <membership defaultProvider="SqlProvider">
      <providers>
        <clear />
        <add
          name="SqlProvider"
          type="System.Web.Security.SqlMembershipProvider"
          connectionStringName="TesteMembership"
          applicationName="TesteMembership"
          enablePasswordRetrieval="false"
          enablePasswordReset="true"
          requiresQuestionAndAnswer="false"
          requiresUniqueEmail="false"
          passwordFormat="Hashed"
          minRequiredPasswordLength="8"
          minRequiredNonalphanumericCharacters="0" />
      </providers>
    </membership>
  </system.web>

  ...

</configuration>

Est�o sendo preenchidos em roleManager os seguintes itens:

type: o tipo de provider a ser utilizado para o gerenciamento de regras de acesso (System.Web.Security.SqlRoleProvider � o default ao se usar o ASP.NET Membership em conjunto com o SQL Server);
connectionStringName: nome da string de conex�o;
applicationName: identificaç�o da aplicaç�o.

J� em membership foram informados os par�metros:

type: o tipo de provider a ser usado na autenticaç�o de usu�rios (System.Web.Security.SqlMembershipProvider � o default ao se utilizar o ASP.NET Membership em conjunto com o SQL Server);
connectionStringName: nome da string de conex�o;
applicationName: identificaç�o da aplicaç�o;
enablePasswordRetrieval: indica se haver� a possibilidade de recuperaç�o de uma senha;
enablePasswordReset: define se � poss�vel ou n�o "resetar" uma senha;
requiresQuestionAndAnswer: determina se estar� sendo utilizada uma pergunta (com resposta) durante o processo de recuperaç�o de uma senha;
requiresUniqueEmail: define se o e-mail associado a um usu�rio deve ser �nico (impede que outros logins fiquem assim vinculados a uma mesma conta de e-mail);
passwordFormat: formato utilizado para a criptografia de senhas;
minRequiredPasswordLength: n�mero m�nimo de caracteres para a definiç�o de uma senha;
minRequiredNonalphanumericCharacters: n�mero m�nimo de caracteres n�o alfanum�ricos que dever�o existir em uma senha.

Exemplos de utilizaç�o das classes do ASP.NET Membership

Aplicaç�es Web Forms podem fazer uso de controles para login, criaç�o de novos usu�rios e, at� mesmo, a recuperaç�o de senhas (http://msdn.microsoft.com/en-us/library/ms178329(v=vs.100).aspx). J� o acesso �s diferentes funcionalidades do sistema pode ser configurado dentro do pr�prio arquivo Web.config. Essas caracter�sticas facilitam bastante o desenvolvimento, evitando em muitos casos a necessidade de se escrever c�digo controlando os processos de autenticaç�o de usu�rios e autorizaç�o de acesso a recursos.

Projetos constru�dos sob o framework ASP.NET tamb�m disp�em de mecanismos que facilitam a utilizaç�o do ASP.NET Membership, com isto acontecendo atrav�s do atributo AuthorizeAttribute (https://www.devmedia.com.br/filters-no-asp-net-mvc-3-revista-net-magazine-94/23663).

J� em outras soluç�es concebidas a partir do .NET Framework (como projetos Windows Forms), a utilizaç�o do ASP.NET Membership forçar� a escrita de instruç�es validando as credenciais de usu�rios e verificando os direitos de acesso destes. Para tais situaç�es, os desenvolvedores poder�o empregar as seguintes classes definidas no namespace System.Web.Security:

Membership: tipo usado na autenticaç�o de usu�rios, criaç�o de novos logins, alteraç�es de senhas, dentre outras tarefas relacionadas � manutenç�o de contas de acesso;
Roles: possibilita a criaç�o de novas regras (roles) de acesso, a vinculaç�o de usu�rios a tais roles, al�m de checagens determinando se um usu�rio tem acesso a um determinado recurso.

Na Listagem 2 � apresentado um exemplo de criaç�o de um novo usu�rio, com isto acontecendo a partir de uma chamada ao m�todo CreateUser da classe Membership; devem ser informados como par�metros a esta operaç�o o login de acesso, al�m da senha correspondente.

Listagem 2: Criando um novo usu�rio


...

string loginUsuario;
string senha;

...

Membership.CreateUser(loginUsuario, senha);

...

J� na Listagem 3 � demonstrado como se criar uma nova regra de acesso (role), atrav�s da invocaç�o do m�todo CreateRole (o qual � disponibilizado pelo tipo Roles).

Listagem 3: Criando uma nova role


...

string regra;

...

Roles.CreateRole(regra);

...

A associaç�o de um usu�rio a uma regra de acesso tamb�m depende do uso da classe Roles (Listagem 4), sendo que neste �ltimo caso � utilizado o m�todo AddUserToRole (que recebe como par�metros o login e a role � qual este ficar� vinculado).

Listagem 4: Vinculando um usu�rio a uma role


...

string loginUsuario;
string regra;

...

Roles.AddUserToRole(loginUsuario, regra);

...

Para a autenticaç�o de um usu�rio dever� ser acionada a operaç�o ValidateUser do tipo Membership; ser�o fornecidos como par�metros a este m�todo o login e a senha de acesso (Listagem 5).

Listagem 5: Autenticando um usu�rio


...

string loginUsuario;
string senha;

...

if (Membership.ValidateUser(loginUsuario, senha))
{
    // Aç�es a serem executadas quando o login for v�lido

    ...

}
else
{
    // Aç�es a serem executadas quando o login for inv�lido

    ...

}

...

Para determinar se um usu�rio realmente possui acesso a um recurso, ser� necess�rio efetuar uma chamada ao m�todo IsUserInRole, o qual encontra-se definido na classe Roles (Listagem 6).

Listagem 6: Verificando se um usu�rio est� associado a uma role


...

string loginUsuario;
string regra;

...

if (Roles.IsUserInRole(loginUsuario, regra))
{
    // Aç�es a serem executadas quando o usu�rio
    // estiver associado a uma role

    ...

}
else
{
    // Aç�es a serem executadas quando o usu�rio
    // n�o estiver associado a uma role

    ...

}

...

Conclus�o

Embora desenvolvido inicialmente para uso em aplicaç�es Web, os mecanismos de autenticaç�o/autorizaç�o do ASP.NET Membership podem ser empregados sem maiores dificuldades em outros tipos de aplicaç�es .NET. As diversas funcionalidades oferecidas por este provider (autenticaç�o, autorizaç�o, gerenciamento de usu�rios e seus respectivos direitos) simplificam consideravelmente a implementaç�o de aplicaç�es mais seguras, evitando com isto a necessidade de se �reinventar a roda� (atrav�s da criaç�o de um mecanismo pr�prio de controle de acessos).

Espero que conte�do aqui apresentado possa ser �til em seu dia-a-dia. At� uma pr�xima oportunidade!

Seguran�a em aplica��es .NET: utilizando o provider ASP.NET Membership

Veja neste artigo o que é o provider ASP.NET Membership e de que maneira o mesmo pode ser utilizado na implementação de rotinas de segurança em aplicações.

Configurando as estruturas do ASP.NET Membership em um banco de dados SQL Server

Configurando a utilizaç�o do ASP.NET Membership em uma aplicaç�o

Exemplos de utilizaç�o das classes do ASP.NET Membership

Conclus�o

Artigos relacionados