Crear una aplicacin ASP.NET utilizando Visual Basic .

NET
1. Abra Visual Studio .NET. 2. Cree una nueva aplicacin Web ASP.NET, y especifique el nombre y la ubicacin.

Configurar la seguridad en el archivo Web.config

En esta seccin se muestra cmo agregar y modificar las secciones de configuracin <authentication> y <authorization> para configurar la aplicacin ASP.NET de manera que utilice autenticacin basada en formularios. 1. En el Explorador de soluciones, abra el archivo Web.config. 2. Cambie el modo de autenticacin a Forms. 3. Inserte la etiqueta <Forms> y rellene los atributos adecuados. (Para obtener ms informacin acerca de estos atributos, consulte la documentacin de MSDN o la documentacin del Tutorial rpido que se muestra en la seccin REFERENCIAS.) Copie el cdigo siguiente y haga clic en Pegar como HTML en el men Edicin para pegar el cdigo en la seccin <authentication> del archivo:
4. <authentication mode="Forms"> 5. <forms name=".ASPXFORMSDEMO" loginUrl="logon.aspx" 6. protection="All" path="/" timeout="30" /> 7. </authentication>

8. Deniegue el acceso al usuario annimo en la seccin <authorization> de la manera siguiente:

9. <authorization> 10. <deny users ="?" /> 11. <allow users = "*" /> 12. </authorization>

Crear una tabla de base de datos de ejemplo para almacenar detalles de los usuarios
En esta seccin se muestra cmo crear una base de datos de ejemplo para almacenar el nombre de usuario, la contrasea y la funcin para los usuarios. Necesitar la columna de funcin si desea almacenar las funciones de usuario en la base de datos e implementar la seguridad basada en funciones. 1. En el men Inicio de Windows, haga clic en Ejecutar y escriba notepad para abrir el Bloc de notas. 2. Resalte el cdigo de secuencia de comandos SQL siguiente, haga clic con el botn secundario del mouse (ratn) en el mismo y, a continuacin, haga clic en Copiar. En el Bloc de notas, haga clic en Pegar en el men Edicin para pegar el cdigo siguiente:
3. if exists (select * from sysobjects where id = 4. object_id(N'[dbo].[Users]') and OBJECTPROPERTY(id, N'IsUserTable') = 1) 5. drop table [dbo].[Users] 6. GO 7. CREATE TABLE [dbo].[Users] ( 8. [uname] [varchar] (15) NOT NULL ,

9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23.

[Pwd] [varchar] (25) NOT NULL , [userRole] [varchar] (25) NOT NULL , ) ON [PRIMARY] GO ALTER TABLE [dbo].[Users] WITH NOCHECK ADD CONSTRAINT [PK_Users] PRIMARY KEY NONCLUSTERED ( [uname] ) ON [PRIMARY] GO INSERT INTO Users values('user1','user1','Manager') INSERT INTO Users values('user2','user2','Admin') INSERT INTO Users values('user3','user3','User') GO

24. Guarde el archivo como Users.sql. 25. En el equipo con Microsoft SQL Server, abra Users.sql en el Analizador de consultas. En la lista de bases de datos, haga clic en pubs y ejecute la secuencia de comandos. Esto crear una tabla de usuarios de ejemplo y llenar la tabla de la base de datos Pubs que se utilizar con esta aplicacin de ejemplo.

Crear una pgina Logon.aspx

1. Agregue un nuevo formulario Web Forms al proyecto denominado Logon.aspx. 2. Abra la pgina Logon.aspx en el editor y cambie a la vista HTML. 3. Copie el cdigo siguiente y utilice la opcin Pegar como HTML del men Edicin para insertar el cdigo entre las etiquetas <form>:
4. <h3> 5. <font face="Verdana">Logon Page</font> 6. </h3> 7. <table> 8. <tr> 9. <td>Email:</td> 10. <td><input id="txtUserName" type="text" runat="server"></td> 11. <td><ASP:RequiredFieldValidator ControlToValidate="txtUserName" 12. Display="Static" ErrorMessage="*" runat="server" 13. ID="vUserName" /></td> 14. </tr> 15. <tr> 16. <td>Password:</td> 17. <td><input id="txtUserPass" type="password" runat="server"></td> 18. <td><ASP:RequiredFieldValidator ControlToValidate="txtUserPass" 19. Display="Static" ErrorMessage="*" runat="server" 20. ID="vUserPass" /> 21. </td> 22. </tr> 23. <tr> 24. <td>Persistent Cookie:</td> 25. <td><ASP:CheckBox id="chkPersistCookie" runat="server" autopostback="false" /></td> 26. <td></td> 27. </tr> 28. </table>

29. <input type="submit" Value="Logon" runat="server" ID="cmdLogin"><p></p> 30. <asp:Label id="lblMsg" ForeColor="red" Font-Name="Verdana" Font-Size="10" runat="server" />

Este formulario Web Forms se utiliza para presentar un formulario de inicio de sesin a los usuarios, de manera que puedan proporcionar su nombre de usuario y su contrasea para iniciar sesin en la aplicacin. 31. Cambie a la vista Diseo y guarde la pgina.

Codificar el controlador de eventos para que valide las credenciales de usuario

En esta seccin se presenta el cdigo que se coloca en la pgina de cdigo subyacente (Logon.aspx.vb). 1. Abra el archivo Logon.aspx.vb. 2. Importe los espacios de nombres necesarios al archivo de cdigo subyacente:
3. Imports System.Data.SqlClient 4. Imports System.Web.Security

5. Cree una funcin ValidateUser para validar las credenciales de usuario examinando la base de datos. (Asegrese de que cambia la cadena de conexin para sealar a su base de datos.)
6. Private Function ValidateUser(ByVal userName As String, ByVal passWord As String) As Boolean 7. Dim conn As SqlConnection 8. Dim cmd As SqlCommand 9. Dim lookupPassword As String 10. 11. lookupPassword = Nothing 12. 13. ' Check for an invalid userName. 14. ' userName must not be set to nothing and must be between one and 15 characters. 15. If ((userName Is Nothing)) Then 16. System.Diagnostics.Trace.WriteLine("[ValidateUser] Input validation of userName failed.") 17. Return False 18. End If 19. If ((userName.Length = 0) Or (userName.Length > 15)) Then 20. System.Diagnostics.Trace.WriteLine("[ValidateUser] Input validation of userName failed.") 21. Return False 22. End If 23. 24. ' Check for invalid passWord. 25. ' passWord must not be set to nothing and must be between one and 25 characters. 26. If (passWord Is Nothing) Then 27. System.Diagnostics.Trace.WriteLine("[ValidateUser] Input validation of passWord failed.")

28. 29. 30. Then 31.

Return False End If If ((passWord.Length = 0) Or (passWord.Length > 25))

System.Diagnostics.Trace.WriteLine("[ValidateUser] Input validation of passWord failed.") 32. Return False 33. End If 34. 35. Try 36. ' Consult with your SQL Server administrator for an appropriate connection 37. ' string to use to connect to your local SQL Server. 38. conn = New SqlConnection("server=localhost;Integrated Security=SSPI;database=pubs") 39. conn.Open() 40. 41. ' Create SqlCommand to select pwd field from the users table given a supplied userName. 42. cmd = New SqlCommand("Select pwd from users where uname=@userName", conn) 43. cmd.Parameters.Add("@userName", SqlDbType.VarChar, 25) 44. cmd.Parameters("@userName").Value = userName 45. 46. 47. ' Execute command and fetch pwd field into lookupPassword string. 48. lookupPassword = cmd.ExecuteScalar() 49. 50. ' Cleanup command and connection objects. 51. cmd.Dispose() 52. conn.Dispose() 53. Catch ex As Exception 54. ' Add error handling here for debugging. 55. ' This error message should not be sent back to the caller. 56. System.Diagnostics.Trace.WriteLine("[ValidateUser] Exception " & ex.Message) 57. End Try 58. 59. ' If no password found, return false. 60. If (lookupPassword Is Nothing) Then 61. ' You could write failed login attempts here to the event log for additional security. 62. Return False 63. End If 64. 65. ' Compare lookupPassword and input passWord by using a case-sensitive comparison. 66. Return (String.Compare(lookupPassword, passWord, False) = 0) 67. 68. End Function

69. Puede utilizar uno de dos mtodos posibles para generar la cookie de autenticacin de formularios y redirigir al usuario a una pgina apropiada en el evento

cmdLogin_ServerClick. Se proporciona el cdigo de ejemplo para ambos escenarios. Utilice cualquiera de ellos segn sea necesario. o Llame al mtodo RedirectFromLoginPage para generar automticamente la cookie de autenticacin de formularios y redirigir al usuario a una pgina apropiada en el evento cmdLogin_ServerClick:
o o o o o o o o o FormsAuthentication.RedirectFromLoginPage(txtUserName.Valu e, _ chkPersistCookie.Checked) Else Response.Redirect("logon.aspx", True) End If End Sub Private Sub cmdLogin_ServerClick(ByVal sender As Object, ByVal e As System.EventArgs) _ Handles cmdLogin.ServerClick If ValidateUser(txtUserName.Value,txtUserPass.value) Then

Genere el vale de autenticacin, cfrelo, cree una cookie, agrguela a la respuesta y redirija al usuario. Esto le ofrece ms control sobre cmo crear la cookie. Tambin puede incluir datos personalizados junto con FormsAuthenticationTicket en este caso.
Private Sub cmdLogin_ServerClick(ByVal sender As Object, _ ByVal e As System.EventArgs) Handles cmdLogin.ServerClick If Validateuser(txtUserName.Value,txtUserPass.Value) Then Dim tkt As FormsAuthenticationTicket Dim cookiestr As String Dim ck As HttpCookie tkt = New FormsAuthenticationTicket(1, txtUserName.Value, DateTime.Now(), _ dateTime.Now.AddMinutes(30), chkPersistCookie.Checked, "your custom data") cookiestr = FormsAuthentication.Encrypt(tkt) ck = new HttpCookie(FormsAuthentication.FormsCookieName(), cookiestr) if (chkPersistCookie.Checked) then ck.Expires=tkt.Expiration ck.Path = FormsAuthentication.FormsCookiePath() Response.Cookies.Add(ck) Dim strRedirect As String strRedirect = Request("ReturnURL") If strRedirect <> "" Then Response.Redirect(strRedirect, True) Else strRedirect = "default.aspx" Response.Redirect(strRedirect, True) End If Else Response.Redirect("logon.aspx", True) End If End Sub

o o o o o o o o o o o o o o o o o o o o o o o o o o o

Crear una pgina Default.aspx

En esta seccin se crea una pgina de prueba a la que se redirige a los usuarios despus de autenticarse. Si los usuarios van a esta pgina sin iniciar sesin primero en la aplicacin, se les redirige a la pgina de inicio de sesin. 1. Cambie el nombre de la pgina WebForm1.aspx existente como Default.aspx y brala en el editor. 2. Cambie a la vista HTML y copie el cdigo siguiente entre las etiquetas <form>:
3. <input type="submit" Value="SignOut" runat="server" id="cmdSignOut">

Este botn se utiliza para cerrar la sesin de autenticacin de formularios. 4. Cambie a la vista Diseo y guarde la pgina. 5. Importe los espacios de nombres necesarios al archivo de cdigo subyacente:
6. Imports System.Web.Security

7. Abra la pgina de cdigo subyacente (Default.aspx.vb) y copie el cdigo siguiente al controlador de eventos cmdSignOut_ServerClick:
8. Private Sub cmdSignOut_ServerClick(ByVal sender As System.Object, ByVal e As System.EventArgs) _ 9. Handles cmdSignOut.ServerClick 10. FormsAuthentication.SignOut() 11. Response.Redirect("logon.aspx", True) 12. End Sub

13. Guarde y compile el proyecto. Ahora puede utilizar la aplicacin.

Solucin de problemas

Quizs desee almacenar las contraseas de manera segura en una base de datos. Puede emplear la funcin de utilidad de la clase FormsAuthentication denominada HashPasswordForStoringInConfigFile para cifrar las contraseas antes de almacenarlas en la base de datos o en el archivo de configuracin. Quizs desee almacenar la informacin de conexin de SQL en el archivo de configuracin (Web.config) de forma que pueda modificarla fcilmente si es necesario. Quizs desee considerar la posibilidad de agregar cdigo para impedir el inicio de sesin de los piratas informticos que intentan utilizar diferentes combinaciones de contraseas. Por ejemplo, puede incluir lgica que slo acepte dos o tres intentos de inicio de sesin. Si el usuario no puede iniciar sesin en un cierto nmero de intentos, quizs desee establecer un indicador en la base de datos para no permitir que ese usuario inicie sesin hasta que no vuelva a habilitar su cuenta visitando una pgina diferente o llamando a su lnea de soporte tcnico. Adems, debe agregar un control de errores apropiado donde sea necesario. Puesto que el usuario se identifica segn la cookie de autenticacin, quizs desee utilizar Capa de sockets seguros (SSL) en esta aplicacin para que nadie pueda recuperar la cookie de autenticacin ni cualquier otra informacin valiosa que se transmita.

La autenticacin basada en formularios requiere que su cliente acepte o habilite las cookies en su explorador. El parmetro timeout de la seccin de configuracin <authentication> controla el intervalo en el que se vuelve a generar la cookie de autenticacin. Puede elegir un valor que proporcione mejor rendimiento y seguridad. Algunos servidores proxy y memorias cach intermedios de Internet pueden almacenar en cach respuestas del servidor Web que contienen encabezados SetCookie, que se devuelven a un usuario diferente. Puesto que la autenticacin basada en formularios utiliza una cookie para autenticar a los usuarios, esto puede hacer que los usuarios suplanten accidentalmente (o intencionadamente) a otro usuario recibiendo una cookie de un servidor proxy o una memoria cach intermedios que no estaba dirigida originalmente a ellos.