Black Friday = Pricewatch Bekijk onze selectie van de beste Black Friday-deals en voorkom een miskoop.
Toon posts:

[.Net WebService] Rolgebaseerde security via Ajax

Pagina: 1
Acties:

vrijdag 29 augustus 2008 09:53

Acties:
  • BikkelZ
  • Registratie: Januari 2000
  • Laatst online: 21-02 08:50

BikkelZ

CMD+Z

Topicstarter
Ik heb er voor gekozen om mijn applicatie redelijk modulair te houden, en niet helemaal op een webinterface te richten maar voor een 'algemene' webservice te gaan. Mijn plan was om de hele GUI in dynamische javascript op te bouwen en alle informatie via AJAX/Webservice uit te wisselen.

Hoe kan ik er nu voor zorgen dat iemand wel rol- en usergebaseerde rechten en informatie krijgt? Kan iemand 'inloggen' op de webservice en gedurende die hele sessie als die user informatie uitwisselen via Ajax met de webservice? Hoe gaat dat in zijn werk?

Security is absolute prioriteit, dus de uitwissling die de webservice met welk systeem dan ook heeft moet absoluut secure zijn, of er nu wel of niet nog een extra laag tussen de webservice en de Ajax GUI in zit.

iOS developer

vrijdag 29 augustus 2008 10:19

Acties:
  • Niemand_Anders
  • Registratie: Juli 2006
  • Laatst online: 09-07-2024

Niemand_Anders

Dat was ik niet..

Uiteraard kun je credentials meegeven aan een webservice (WS-Security), maar je kunt ook de standaard asp.net security mogelijkheden gebruiken. Je kunt dus op zich gewoon een asp.net forms authenticatie uitvoeren. Role bases authenticatie kan dan op twee manier via IIdentity.IsInRole en via RoleProvider.IsUserInRole.

Voor je webservice maakt het op zich niet uit of de call van de webserver zelf afkomt (asp.net page welke een webservice gebruikt) of dat de client direct de webservice raadpleegt.

If it isn't broken, fix it until it is..

vrijdag 29 augustus 2008 10:38

Acties:
  • BikkelZ
  • Registratie: Januari 2000
  • Laatst online: 21-02 08:50

BikkelZ

CMD+Z

Topicstarter
Ja het is voor mij echt nog een beetje een grijs gebied op dit moment. Als je het over ASP.Net based hebt, dan denk ik meteen dat het alleen werkt vanuit webachtige omgevingen, en niet vanuit een kleine applicatie in de systray bijvoorbeeld.

Eigenlijk moet de informatie op de volgende manier beveiligd worden:

- Afhankelijk van als wie iemand ingelogd is op het lokale netwerk
- Als dat niet mogelijk is afhankelijk van als wie iemand inlogt via het intranet

Dus er moet eigenlijk gekeken worden onder welke AD user iemand is ingelogd, of - en dat is mij vooral een beetje vaag - als welke user iemand via het web is ingelogd.

Misschien is mijn probleem ook wel dat ik niet gewoon weet waar ik naar moet zoeken.

iOS developer

vrijdag 29 augustus 2008 15:07

Acties:
  • Niemand_Anders
  • Registratie: Juli 2006
  • Laatst online: 09-07-2024

Niemand_Anders

Dat was ik niet..

Kan de webservice (website) het AD benaderen om de credentials te controleren? asp.net security heeft in elk geval een WindowsTokenRoleProvider. Ook heb ik in de MSDN een WindowsAuthenticationModule zien staan, maar hier heb ik zelf nog nooit mee gewerkt.

Vanuit MSIE zou je in combinatie met de IIS in Integrated Security mode de user automatisch kunnen detecteren. Maar dit werkt niet vanuit een systray. Alleen de username (domain\user) doorgeven vind ik persoonlijk geen security. Maar is het een probleem als een persoon eenmalig een username (email) en password invult via een 'settings' dialog welke de systray kan openen?

If it isn't broken, fix it until it is..

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq