Почти все программисты, начинающие работать с ASP.NET, приходят в дикий восторг услышав фразу "авторизация на основе ролей". Но когда они знакомятся с этим поближе восторг обычно сменяется унынием и возмущением "неужели нельзя было сделать это более красивей и удобней - без заморачивания с файлом конфигурации и с более гибким управлением?". Но расстраиваться нет причин – не все так плохо, как кажется на второй взгляд :).

Для начала вспомним, что же нам предлагают создатели ASP.NET для управления доступом к ресурсам веб приложения пользователям, имеющим определенные роли (или говоря более привычным для администраторов языком – пользователям, входящим в определенные группы). А предлагают они следующее решение:

1. Для аутентифицированного пользователя создать э ... Читать дальше »

На Мании не один раз поднималась тема создания одностраничных порталов, при этом обычно обсуждался IBuySpy Portal. Причина написания этой статьи одновременно является и причиной самой возможности её написания, и она очень проста: у меня до сих пор не хватает времени более или менее основательно разобраться со структурой и принципами функционирования данного Shared Source проекта, и, соответственно, его использовать, поэтому пришлось реализовывать собственный engine. Предполагая, что не один я нахожусь в ситуации острой нехватки времени (и/или слабого знания английского, которое у меня наличествовало на момент разработки собственного одностраничного портала), я решил, что мой опыт решения названной выше задачи, оформленный в виде статьи, может быть полезен некоторым начинающим ASP.NET программерам ... Читать дальше »

В статье "Система аутентификации на базе протокола HTTP Basic был рассмотрен алгоритм Basic аутентификации и с помощью него была построена система Basic аутентификации на основе ролей, работающая без специальной настройки IIS сервера и использующая базу данных для хранения учетных записей пользователей.

У Basic есть один недостаток, а именно username и password передаются по сети открыто (clear text), base64 кодировка не может считаться защитой.

В этой статье будет рассмотрен алгоритм Digest аутентификации, решающей некоторые проблемы, имеющиеся у HTTP Basic Authentication. Например эта схема не передаёт password по сети открытым текстом. Официальное название схемы - "Digest Access Authentication".

Расширим нашу систему и ... Читать дальше »

Большинство Web разработчиков используют обычные HTML-формы для обеспечения информации о правах доступа к страницам приложения, потому что эти формы всем знакомы, могут предоставить дополнительную информацию, запросить дополнительную информацию, кроме имени пользовател и пароля.

Как только юзер получает начальный доступ, приложение начинает отслеживать session, чтобы предоставить пользователю доступ к другим страницам.

Но у этого подхода есть и недостатки:

1. Большие затраты со стороны разработчика.
2. Прозрачность приложения.
   • например, часто, посмотрев Source страницы с login/password легко понять, куда происходит post и с какими параметрами
3. Открытость для атак:
   • кросс-сайтных атак через сценарий:
     • htt ... Читать дальше »

Решив написать статью про построение графиков в ASP.NET, я понял, что одной статьи не хватит и запланировал серию из трёх статей. Данная статья, первая из серии, предлагает решение через OWC и генератор клиентского скрипта, так сказать введение в OWC. Здесь мы рассмотрим 2 типа графиков (круговая диаграмма и столбчато-линейная :)).

В запланированной второй статье будет показан пример более сложных диаграмм и будет добавлен слой бизнес-логики и class-wrapper для графиков. В третьей статье будет предложено решение построения сложной диаграммы с помощью System.Drawing и отображения с помощью HttpHandler - средствами чистого .NET.

OWC - Office Web Component это компонент windows для построения диаграмм в web. Даже во времена ASP он находился в тени, а свет в о ... Читать дальше »

А что здесь такого, спросите вы? В том-то и дело, что работа с данными в web-приложениях требует иного подхода, чем описанный во всех статьях и учебниках метод работы с использованием типизированных наборов данных. Объясняется это в первую очередь требованиями к производительности системы, что играет далеко не последнюю роль в качестве проектируемого программного продукта. И если при написании настольных приложений некоторыми аспектами производительности можно было пренебречь, то в web-приложениях такое пренебрежение чревато серьезными проблемами.

В статье мы подробно рассмотрим пример приложения, останавливаясь на ключевых моментах, объясняя преимущества выбранного метода перед другими существующими.

Итак…

В качестве системы баз данных мы выберем небезызвестный ... Читать дальше »

В форуме достаточно часто поднимается вопрос типа «а как отобразить картинку, если она сохранена в БД?». И ответ всегда звучал примерно так: «создать файл, который получает картинку из БД и пишет ее содержимое клиенту предварительно установив правильный ContentType».

Но зачем использовать дополнительный файл для получения картинки, если в ASP.NET есть такое замечательно средство обработки запросов, как HttpHandler? :)

Что же такое HttpHandler и на что он похож? Фактически HttpHandler это тот же ISAPI фильтр, обрабатывающий http запросы. Любой запрос, приходящий на ASP.NET веб приложение, в итоге будет обработан одним из HttpHandlerов, и от этого никуда не деться. Некоторые HttpHandlerы передают выполнение запроса другим классам (например классу вызываемой стран ... Читать дальше »