Control de acceso de un usuario en ASP.NET

Hacía tiempo que deseaba escribir algo sobre ASP.NET, una tecnología con la que he trabajado durante varios años y que en lo s últimos meses he dejado un poco de lado debido a que en el trabajo me estoy decantando por otro tipo de proyectos más cercanos a la parte de programación de sistemas y redes. Sin embargo, y aun a pesar de sus numerosas peculiaridades, ASP.NET es una tecnología muy interesante que recomiendo a aquellos que deseen adentrarse en el mundo de la programación web de aplicaciones empresariales.

La entrada de hoy está relacionada con la seguridad de nuestras aplicaciones. Habitualmente, las aplicaciones web permiten a los usuarios conectarse desde lugares remotos a nuestros servidores para ejecutar consultas, introducir datos o efectuar cualquier tipo de cálculo o trabajo. Esto se solventa fácilmente mediante un sencillo sistema de autenticación, bien sea mediante autenticación Windows, bien a través de la autenticación de Passport o a través de formularios. Sin embargo, es posible que nuestros usuarios se conecten varias veces desde diferentes navegadores ocupando varias sesiones, y podría interesarnos que esto no sea así. Hoy veremos un sencillo método para validar en la página de login de nuestra aplicación si un determinado usuario se ha autenticado previamente en el sistema, y en caso de ser así, no permitirle acceder a la aplicación hasta que termine la sesión, bien manualmente, bien por expiración de la misma.

En sí, el ejemplo está constituido por un par de páginas, una inicial de login (Default.aspx) y otra accesible desde aquella (Lobosoft.aspx). En la primera, el usuario se autentica mediante su nombre de usuario y password. Esta tupla se valida de algún modo (en el ejemplo, simplemente mediante un método que los comprueba, pero en un caso real se produciría una validación contra una base de datos o un LDAP, por ejemplo). Si el usuario existe y su contraseña es correcta, se comprueba entonces que no haya accedido previamente al sistema. Para ello, sus datos son almacenados en la caché de la aplicación (para prever la expiración por tiempo) y su nombre de usuario en la sesión. En ese momento es redirigido a la página “de trabajo”, Lobosoft.aspx. El usuario puede volver mediante un enlace a la página anterior, y si intenta volver a identificarse el sistema le indicará que ya está registrado. Para poder volver a identificarse, debería cerrar la sesión mediante el enlace “Salir” (que limpia de la caché sus datos).

Como decía, el código es muy simple, y está basado principalmente en el método UniqueLogin(), en Default.aspx, que comprueba si el usuario se registró previamente, actuando en consecuencia.

[csharp]
private bool UniqueLogin(string user)
{
string myUser = Convert.ToString(Cache[user]);

// Si el usuario es nulo o cadena vacía...
if (myUser.ToString() == String.Empty)
{
TimeSpan SessTimeOut = new TimeSpan(0, 0, HttpContext.Current.Session.Timeout, 0, 0);
HttpContext.Current.Cache.Insert(user, user, null, DateTime.MaxValue, SessTimeOut,
System.Web.Caching.CacheItemPriority.NotRemovable, null);

Session["user"] = user;

return true;
}
else
{
return false;
}
}
[/csharp]

Y en Lobosoft.aspx, una limpieza de la caché en caso de terminar la sesión:

[csharp]
Cache[(string)Session["user"]] = string.Empty;
[/csharp]

Dejo el código accesible para su descarga en el siguiente enlace:

[download#11]

Más adelante me gustaría mostrar cómo impedir que una determinada sección de nuestra aplicación se ejecute varias veces por uno o más usuarios a la vez, e incluso que se impida “compartir” URLs entre usuarios, siendo estas únicas para una determinada ejecución de la aplicación, algo que ya tuve que implementar en el pasado y que me pareció ciertamente útil en determinadas situaciones.