ciao,

doppiomango ha scritto:

se è possibile modificare un file .js tramite firebug o programmi simili

Sì, i maggiori browser dispongono di una Web Console che ti consente di eseguire comandi javascript arbitrari nel contesto della tua pagina. Magari da lì non si riesce a modificare il javascript sorgente (un modo si troverebbe) ma è comunque possibile cambiare i valori delle variabili, eseguire chiamate ajax, e così via.
Uno smanettone avrebbe abbastanza margine per far danno se il server, per autenticare l'utente, facesse affidamento unicamente su valori che gli arrivano in chiaro dal client.

doppiomango ha scritto:

Avrei preferito lavorare solamente con le Session ma con ajax le session "non funzionano"...

Spiega come funziona la tua applicazione. Per caso la tua chiamata ajax invoca un HttpHandler .ashx?

Anche per le chiamate ajax, il browser invia al server sia il cookie di autenticazione che quello di sessione creati da ASP.NET, quindi il fatto che la sessione non funzioni deve essere un problema da risolvere lato server.
Comunque, se il tuo scopo è quello di autenticare l'utente, usa la FormsAuthentication di ASP.NET che creerà un cookie dal contenuto criptato. Il client certamente potrà modificare il contenuto del cookie ma così facendo ne comprometterà la validità. Così è impossibile che riesca a compiere operazioni per conto di altri utenti.

ciao

---

Modificato da BrightSoul il 16 maggio 2013 20.16 -

ciao, prego!

doppiomango ha scritto:

Purtroppo con i cookie non ho mai lavorato ne ho mai usato le FormsAuthentication di ASP.NET,

Non fa nulla, è un'ottima occasione per provarlo.
E' semplice da mettere in pratica e richiederà pochissime modifiche al codice. Un piccolo prezzo che però ti eviterà di fornire l'id dell'utente in querystring.

Per prima cosa, imposta la forms authentication nel web.config. All'interno del nodo system.web metti questa linea (ma controlla che non ci sia già).


Immagino che tu abbia già la tua pagina di login. Quella va bene, puoi mantenerla così com'è, devi solo aggiungere questa linea subito dopo aver controllato che lo username e la password digitate dall'utente sono corrette.
Finito. Il metodo SetAuthCookie si occuperà di creare, crittografare e inviare al client un cookie di autenticazione che il browser restituirà al server in tutte le sue richieste successive.

Quindi, quando si apre una pagina o viene eseguita una richiesta ajax, tu potrai recuperare il nome dell'utente in questo modo:

Così non devi neanche creare variabili di sessione o avere logica personalizzata di riconoscimento dell'utente.

Quando finalmente vuoi disconnettere l'utente, allora chiama:

Questo invaliderà il cookie e l'utente risulterà non più autenticato.

Prova, ne vale la pena. Eventualmente prima sperimentalo su un nuovo progetto contenente giusto una pagina di test.

Per approfondire, qui su Aspitalia trovi uno speciale che ti spiega cos'altro puoi fare con la FormsAuthentication.
http://www.aspitalia.com/focuson/640/Speciale-Forms-Authentication-ASP.NET.aspx

ciao

---

Modificato da BrightSoul il 17 maggio 2013 23.27 -

ciao, prego :)

doppiomango ha scritto:

le session, queste spesso e volentieri mi scadono

Già, anche il mantenimento della sessione, per default, si avvale di un cookie ma si tratta di un cookie non persistente che perciò viene subito rimosso alla chiusura del browser.

Usando il metodo SetAuthCookie che ti mostravo ieri, invece, hai l'oppotunità di creare un cookie persistente che "sopravvive" al riavvio del browser e che può durare molto più a lungo, ammesso che l'utente non lo rimuova prima in qualche modo (ad esempio sloggandosi o cancellando la cache del browser).
Di solito è l'utente che sceglie se creare un cookie persistente o no. Puoi raccogliere la sua preferenza con una checkbox nella pagina di login che puoi chiamare "Mantieni l'accesso" o "Resta loggato".

Puoi configurare la durata del cookie nel web.config. Espandi il nodo authentication in questo modo.

L'elemento forms che vedi qui sopra ti permette di configurare anche altre cose, come l'url della pagina di login, al quale l'utente verrebbe ridirezionato se provasse ad entrare da anomimo in una pagina riservata.

ciao!

Ciao Davide,
Prego! Mi fa piacere sapere che il consiglio è stato utile :D

Usare la FormsAuthentication è molto comodo perché è ASP.NET ad occuparsi del lavoro "delicato", cioè quello che riguarda la sicurezza dei dati nel cookie e del successivo riconoscimento del client.

Se prossimamente volessi approndire l'argomento, puoi leggere anche di come ASP.NET ti consenta di gestire la fase di autorizzazione, cioè il decidere se quell'utente può accedere ad una sezione del sito oppure no, anche in base al suo ruolo.
http://www.aspitalia.com/articoli/asp.net2/membership_roles_api.aspx
La membership e la roles API sono un po' meno semplici da configurare, ma comunque più sicure e rapide rispetto al dover sviluppare una soluzione personalizzata.

ciao!