none
Asp.net login ve güvenlik işlemleri RRS feed

  • Soru

  • Merhabalar

    Bir konuda fikrinizi öğrenmek istiyorum. Asp.net ile bir web sitesi yapmaya çalışıyorum ancak aklıma takılan iki soru var. Ben login işlemi sırasında kullanıcı login olduktan sonra bazı bilgileri session üzerinde tutuyorum. Bunlar kullanıcının mail adresi,departman ve yönetici bilgisini. Bu yanlış bir yöntem midir. Sadece id bilgisini tutup her seferinde sql sen mi almam daha doğrudur.

    Diğer sorum ise sayfa güvenliği ile ilgili. Ben bazı sayfalara yetkisi varsa erişim yapabilsin istiyorum . Gene kullanıcının yetkisini session ile sayfanın pageload ında kontrol ediyorum . Ama sayfası fazla olduğu zaman gereksiz ve mantıksız bir işlem gibi geldi yaptığım şey. Bunun yerine öneriniz ne olacaktır. 

    Şimiden cevaplarınız için teşekkürler.

    2 Şubat 2016 Salı 05:41

Yanıtlar

  • Session ile güvenlik olmaz. Sen id mi tutayım yoksa tüm veriyi mi tutayım diyorsun, bense hiçbirini tutma diyorum.

    Ben simplemembership kullanıyorum çok başarılı. Örnekleri MVC için görürüsün ama webforms da da kullandım sorunsuz.

    Dosyalara değilde klasöre koyduğunuz web.config içinde yetki veriyorsunuz


    www.mvcblog.org
    e-mail: onay[nokta]yalciner[at]hotmail[nokta]com

    • Yanıt Olarak İşaretleyen Serkan Canseven 3 Şubat 2016 Çarşamba 08:49
    2 Şubat 2016 Salı 07:39
    Moderatör

Tüm Yanıtlar

  • Session ile güvenlik olmaz. Sen id mi tutayım yoksa tüm veriyi mi tutayım diyorsun, bense hiçbirini tutma diyorum.

    Ben simplemembership kullanıyorum çok başarılı. Örnekleri MVC için görürüsün ama webforms da da kullandım sorunsuz.

    Dosyalara değilde klasöre koyduğunuz web.config içinde yetki veriyorsunuz


    www.mvcblog.org
    e-mail: onay[nokta]yalciner[at]hotmail[nokta]com

    • Yanıt Olarak İşaretleyen Serkan Canseven 3 Şubat 2016 Çarşamba 08:49
    2 Şubat 2016 Salı 07:39
    Moderatör
  • Aslında nasıl bir websitesi yapmak istediğine göre bu sorunun cevabı değişebilir, ama genel olarak sessionda veri tutmak güvenlik açığı olarak kabul edilemez.


    i can change the world, just need the source code..

    2 Şubat 2016 Salı 08:44
  • Cevaplarınız için teşekkür ederim. Ben webform ile kontroller yaptım diğer yöntemide araştıracağım.  Yaptığım web uygulaması iç kullanımda 100-150 kişinin kullanacağı bir portal. Ancak asıl öğrenmek istediğim şudur. Sizler bu tarz portallar geliştirirken kullanıcıların login olduktan sonra bilgilerini eğer sessionda saklamak çok mantıklı değilse  nasıl yapıyorsunuz. Örnek olarak kullanıcı bir işlem yaptıktan sonra ona bilgilendirme maili atılacağı zaman yada kullanıcının bağlı olduğu departman bilgisine ihtiyaç duyduğumuzda bu bilgileri saklamadan lazım olduğunda sql den mi almaktır önerilen. Sizin önerilerinize göre araştırmalarımı yapıyor olacağım. 

    Teşekkürler.

    2 Şubat 2016 Salı 12:41
  • Yasin: Ben güvenlik açığı olur demedim. Güvenilmez çünkü Session IIS process'lerine göre drop olabilir. App-Pool ayarlarına göre ram kotası dolup otomatik drop olabilir. Benim anlatmak istediğim buydu.

    Onur: Ben SimpleMembership kullanıyorum, üyelik ve yetki işlerini kafama takmıyorum o kadarını söyleyim.


    www.mvcblog.org
    e-mail: onay[nokta]yalciner[at]hotmail[nokta]com

    2 Şubat 2016 Salı 13:05
    Moderatör
  • Benimde öğrenmek istediğim tam olarak sizin önemsemediğiniz kısım. Ben nasıl yapıldığı değil sadece mantığını öğrenmek istiyorum. Siz bu tarz projelerde sadece kullanıcı id bilgisini tutup geri kalan bilgileri sürekli sql üzerinden mi kontrol ederek işlem yapıyorsunuz. Beni bu konuda aydınlatırsanız sevinirim.

    İyi Çalışmalar.

    3 Şubat 2016 Çarşamba 09:49
  • sadece Id ve UserName cookie de tutuluyor.

    www.mvcblog.org
    e-mail: onay[nokta]yalciner[at]hotmail[nokta]com

    3 Şubat 2016 Çarşamba 10:16
    Moderatör
  • Önay hocam, sizin yazınıza cevap olarak -session kullanmak güvenlik açığı oluşturmaz- yazmamıştım, genel olarak fikrimi belirtmiştim, bilginizden şüphem yok.

    ben genel olarak forms authetication kullanıyorum, eğer ki firmalar için kendi locallerinde çalışacak bir web projesi geliştirmem gerekiyorsa session da kullanıyorum, bunu kullanmamın da artıları olabiliyor yerine göre. 

    Bahsettiğim gibi yapacağınız projeye göre değişir.


    i can change the world, just need the source code..

    3 Şubat 2016 Çarşamba 15:39