Sessions para WebBroker

Salve, salve Delphianos!

Neste pequeno artigo demonstrarei algumas t�cnicas para criaç�o de Sessions para aplicaç�es baseadas em WebBroker.

Mas para que servem as Sessions? Uma resposta curta e grossa: serializar usu�rios em aplicaç�es Web! Xiiiiiii Facunte, agora piorou, explique melhor!?

Vejamos dois exemplos:

e-Commerce

Serializamos clientes atrav�s de Sessions, onde todas as aç�es devem ser controladas, como adiç�o de produtos no carrinho de compras, processo de identificaç�o e pagamento.

Veja o esquema:

Internauta entra na loja virtual e recebe uma sess�o �nica: A01-FF1;
Internauta escolhe produto e coloca na sua cesta. Sua cesta possui a mesma identificaç�o da sess�o: A01-FF1;
Internauta entra na �rea de identificaç�o e o sistema vincula seu cadastro � sess�o: A01-FF1;
Internauta finaliza processo de compra, e o sistema identifica suas opç�es atrav�s da sess�o: A01-FF1.

iBanking

Utilizada no processo de identificaç�o do cliente, bem como em todas as aç�es realizadas durante a sess�o (transfer�ncia entre contas, pagamentos, extrato, etc).

Cliente entra no site do banco e recebe uma sess�o �nica: BBC-AAX;
Cliente informa dados de sua conta e realiza login do iBanking. O sistema vincula a conta logada na sess�o BBC-AAX. Para maior segurança, al�m de um servidor seguro, a sess�o criada possui algumas informaç�es do internauta, como por exemplo, o n�mero do IP (obviamente criptografado);
Cliente realiza todas as transaç�es de maneira segura, onde o sistema sempre verifica as informaç�es da sess�o BBC-AAX, e da m�quina do usu�rio;
Cliente finaliza processo, e o sistema libera a sess�o BBC-AAX.

Mas chega de apresentaç�es! Chegou a hora de por a m�o na massa.

Listagem 1: Funç�o rand�mica para criaç�o de sess�es

function�NewIDRamdom:String;
begin
Result:= IntToHex(Random($ffffffff),8)+'-'+
   IntToHex(Random($ffffffff),8)+'-'+
���������������IntToHex(Random($ffffffff),8)+'-'+
���������������IntToHex(Random($ffffffff),8);
end;

Listagem 2: Funç�o que utiliza diversos dados, como data e hora

function�NewIDPlus:String;
�var
�iAno, iMes, iDia, iHora, iMinuto, iSegundo, iMSegundo: Word;
�begin
����DecodeDate(Now, iAno, iMes, iDia);
����DecodeTime(Now, iHor, iMin, iSeg, iMSeg);
����Result:= IntToHex(iAno,3)+'-'+
����������������IntToHex(iMes,2)+'-'+
����������������IntToHex(iDia,2)+'-'+
����������������IntToHex(iMSegundo,3)+'-'+
����������������IntToHex(iSegundo,2)+'-'+
����������������IntToHex(iMinuto,2)+'-'+
����������������IntToHex(iHora,2);
�end;

Listagem 3: Funç�o que retorna uma GUID

function�NewIdGuid:String;
var
�����MinhaGUID:TGUID;
begin
�����CoCreateGuid(MinhaGuid);
�����Result:=GUIDToString(MinhaGuid);
end;

Nesse exemplo, necessitamos de duas units: ActiveX e COMOBJ.

�Exemplos de utilizaç�o:

Vari�vel de sess�o:

var
�IDSession:�String;

Vari�vel Internet, que identifica o usu�rio:

<input type=�hidden� name=�ID� value=�...>
�http://servidor/aplicacao.dll/login?ID=....

No evento OnBeforeDispatch insira o c�digo que segue:

begin
��if�Request.ContentFields.values[�ID�]=���then
�����IDSession := NewIdGuid;
end;

�E no parser do seu Producer (onHTMLTag), coloque o c�digo que segue:

begin
����if�TagString=�ID��then
������ReplaceText:=IDSession;
end;

�Em todas as p�ginas voc� dever� inserir a Tag transparente <#ID>, exemplo:

<input type=�hidden� name=�ID� value=�<#ID>�>
�http://servidor/aplicacao.dll/login?ID=<#ID>
�<form name=�cliente� action=�/apl.dll/confirma?ID=<#ID>�>

A seguir demonstrarei como criar e administrar sessions para o saudoso WebBroker. Crie uma nova aplicaç�o baseada na tecnologia WebBroker, atrav�s das opç�es File/New.../WebServer Application. Selecione qualquer uma das opç�es (CGI, ISAPI, Apache...). Salve o projeto com o nome Sessoes.DPR e a unit como un_sessoes.pas. Com o objetivo de criar um projeto profissional, estaremos utilizando um banco de dados para armazenar informaç�es sobre as sessions.

�

Veja a estrutura das tabelas:

Tabela de Sess�o
Campo	Tipo
SSS_ID	Varchar	PK
SSS_USU_Id	Int
SSS_DataHoraUltAtualizacao	DateTime
SSS_IP	Varchar

�

Tabela Usu�rio
Campo	Tipo
USU_ID	Int	PK
USU_Nome	Varchar
USU_Senha	Varchar

A estrutura modelo � baseada em SQL Server, mas voc� poder� adaptar facilmente em qualquer SGDB. Em nosso projeto utilizaremos ADO, mas voc� poder� utilizar a tecnologia dbExpress, ou at� mesmo o BDE. Prosseguindo com o projeto, insira os seguintes objetos.

AdoConnection
Name	dbconexao
LoginPrompt	False
ConnectionString	Faça a conex�o com a sua base de dados.

AdoDataSet
Name	QrySessao
Connection	dbConexao

Neste ponto implementaremos as rotinas comuns para o tratamento de sessions. Na seç�o public, declare a funç�o NewIdGuid��(respons�vel pela criaç�o de um novo ID), e faça a implementaç�o como segue:

function�NewIdGuid:String;
var
�����MinhaGUID:TGUID;
�����sIDInterno:String;
begin
�����CoCreateGuid(MinhaGuid);
�����sIDInterno:= GUIDToString(MinhaGuid);
�����// Adiciona a sess�o no banco de dados
�����dbConexao.Execute(�Insert into Sessao values(�+
��������QuotedStr(sIDInterno)+�,�+
���������0,�+
��������QuotedStr(DateTimetoStr(Now))+�,�+
��������QuotedStr(Request.RemoteAddr)+�)�,������
���������cmdText, [eoExecuteNoRecords]);����
�����Result:= sIDInterno;
end;

Vamos analisar o c�digo:

�

Criamos��uma chave �nica (ID)��e setamos para sIDInterno.��CoCreateGuid(MinhaGuid);

sIDInterno:= GUIDToString(MinhaGuid);

Inserimos o novo ID no banco de dados, e transmitimos os seguintes par�metros:

��

dbConexao.Execute(�Insert into Sessao values(�+
�novo ID,������QuotedStr(sIDInterno)+�,�+

�

Usu�rio = 0. Isso indica que ainda n�o efetuou login.��

�0,�+ �

Data e Hora Atual.

QuotedStr(DateTimetoStr(Now))+�,�+

E o IP do usu�rio.

�� QuotedStr(Request.RemoteAddr)+�)�, ��

Com isso apenas adicionamos a chave no banco de dados. Na cl�usula uses, acrescente as units ComObj e ActiveX.

Na seç�o protected,��declare a seguinte vari�vel:

protected
�����sID:�String;

A vari�vel sID ser� respons�vel pelo controle do session ID. Neste ponto criaremos a funç�o que ir� checar a exist�ncia de um ID e retornar o valor do mesmo.

function�ChecaId:String;
var
���sIDinterno:string;
begin
�����// verifica se existe ID (post)
�����sIDInterno:=Request.ContentFields.Values[�ID�];
�����if�sIDInterno=����then
�����begin
����������// verifica se existe ID (get)
����������sIDInterno:=Request.QueryFields.Values[�ID�];
����������if�sIDInterno=���then
����������begin
��������������// n�o existe ID, cria um novo;
�������������sIDInterno:=NewIdGuid;
����������end;
�����end;
�����// Retorna ID
�����Result:=sIDInterno;
end;

�

Vamos analisar a l�gica da funç�o:

Neste ponto verificamos a exist�ncia do campo ID num FORM com m�todo POST.

// verifica se existe ID (post)
sIDInterno:=Request.ContentFields.Values[�ID�];
if�sIDInterno=����then
begin

Em caso negativo, verifica-se a exist�ncia do campo ID num m�todo GET, e se persistir, criamos um novo ID.

Este � ponto mais importante da sua aplicaç�o. Necessitamos transmitir o campo ID em todas as aç�es, seja dentro de um form ou atrav�s de uma URL, exemplos:

� �

1. http://servidor/aplicacao.dll?ID=<#ID>
2. <form method=post action=�aplicaç�o.dll�>
���<input type=hidden name=�ID� value=�<#ID>�>

Repare que em ambos os casos utilizamos a tag transparente <#ID>. Com isso deveremos realizar o parser em todos os objetos��Producers atrav�s do evento OnHtmlTag;

Amigos, em todos os producers (normalmente centralizo minhas aplicaç�es num �nico Producer), voc�s dever�o realizar o parser.�Veja o exemplo:

Evento OnHtmlTag.

If�TagString=�ID��then
begin
��ReplaceText:=ChecaId;
end;

�

Neste ponto criaremos as funç�es para efetuar LogIn e LogOut al�m de uma funç�o que verifica se o usu�rio est� logado no sistema. Como exemplo, crie um HTML com os campos: usuario e senha:

�

<html>
<body>
<form method=�post� action=�login�>
����<input�type=�HIDDEN��name=�ID� value=�<#ID>�
����Usuario <input�type=TEXT�name=usuario><BR>
����Senha <input�type=password�name=senha><BR>
����<input�type=submit value=�confirma�>
</form>
</body>
</html>

�

A funç�o Login retorna uma express�o l�gica com o resultado da operaç�o.

�

function�Login:boolean;
var
���sUsuario, sSenha, sURL:string;
begin
��sID:=ChecaId;
��sUsuario:=Request.ContentFields.Values[�usuario�];
��sSenha:=Request.ContentFields.Values[�senha�];
��with�QrySessao�do
��begin
���Close;
���CommandText:=�Select usu_id, usu_nome, usu_senha from usuario whereUSU_NOME=�+QuotedStr(sUsuario);
���Open;
���If Empty�or�FieldByName(�usu_senha�).AsString<>sSenha�then
���begin
�����Result:=False;
���end
���Else
���begin
�����// Atualiza
������dbConexao.Execute(�UpDate Sessao�set��+�����������SSS_Usu_id=�+FieldByName(�usu_id�).AsString+�, �+�����SSS_DataUltAtualizacao=�+QuotedStr(DateTimetoStr(Now))+
�����,�+ QuotedStr(Request.RemoteAddr)+�)�,������
����cmdText, [eoExecuteNoRecords]);���������
�����Result:=True;
���End;
���Close;
���end;���
end;

�

A funç�o Login, verifica a exist�ncia do usu�rio e a validade da senha. Em caso positivo, a tabela Sessao � atualizada com os dados do usu�rio(ID, C�digo do Usu�rio e Data/Hora atualizaç�o). Com isso autenticamos o usu�rio em nossa base.Al�m disso utilizamos a vari�vel sURL que cont�m a URL de destino ap�s o usu�rio efetuar o Login no sistema. Exemplo:

- Usu�rio tenta acessar uma �rea restrita

�

Funç�o LogOut

A funç�o LogOut retira o v�nculo do usu�rio na tabela Sess�o. Devemos passar o par�metro ID para que a operaç�o seja realizadda.

function�Logout(ID:String):boolean;
begin
����try
�������dbConexao.Execute(�Update Sessao set SSS_Usu_id=0 where SSS_ID = �+ID,cmdText,��������[eoExecuteNoRecords]);
�����������Result:=True;���������
�������except
������������Result:=False;
�������end;
end;

Funç�o VerificaLogin

Esta funç�o verifica se o usu�rio est� logado no sistema atrav�s da autenticaç�o e do tempo. Estou prevendo 1 dia, mas voc� poder� configurar de acordo com a sua necessidade (1 hora, 30 minutos, 10 minutos, etc).

function�VerificaLogin(ID):boolean;
begin
��with�QrySessao�do
��begin
���Close;
���CommandText:=�select SSS_USU_ID, SSS_DataHoraUltAtualizacao from Sessao where SSS_ID=�+ID;
���Open;
���If�(Empty)�or
������(FieldByName(�SSS_USU_ID�).AsInteger=0)�or
������(FieldByName(�SSS_DataHoraUltAtualizacao�).Value<Now-1
����then
�����Result:=False
����Else
�����Result:=True;
��end;
end;

Utilizando as funç�es

Em todas as aç�es que necessitam de Login, voc� dever� inserir o c�digo abaixo:

�

if�not(VerificaLogin(sID))�then
begin
��// coloque aqui o c�digo que chama a sua tela de LOGIN
��// exemplo:
��Response.Content:=��;
end;

�

Sugiro a criaç�o de uma rotina de expurgo para eliminar todos os registros da tabela Sessao com atualizaç�o inferior a 2 dias.

Espero que tenham compreendido o artigo e que possam aproveit�-lo em seus sistemas.

�

Forte abraço.