Discussion :

[Fabien25C]

Bonsoir à tous,

je suis en train de développer une application web en ASP .Net Core MVC avec laquelle je souhaite mettre en place une authentification par formulaire (ou autre mais pour le moment je n'ai pas trouvé ce que je veux).

Pourquoi par formulaire?
car je ne veux pas connecter l'utilisateur en cours et je ne veux pas faire d'impersonation, l'application va se connecter à un active directory et avoir accès en lecture écriture aux utilisateurs etc... d'où ma volonté de passer un par un formalaire.

Parti de là, j'ai créé mon formulaire, tout fonctionne correctement, sauf que le mot de passe s'affiche en clair en paramètres dans l'URL ce qui ne me convient pas du tout.
j'ai cherché un peu du côté du chiffrement de données dans l'url, mais ça ne semble pas prescrit, à partir du moment où veut mettre l'accent sur la sécurité.

Pour ma connexion AD, j'utilise l'assembly Directory Service dans laquelle je précise mon user et mot de passe.

J'ai vu qu'identity existait, mais semble ne proposer qu'une authentification vers du facebook etc... ou de l'AD azure, ce dont je ne dispose pas (je dispose d'un AD en local).

Donc voilà, si une bonne âme a une idée à m'apporter car je coince et je souhaiterais vraiment que cette application soit plus sécurisée.

Merci d'avance,

bonne soirée

[Fabien25C]

je m'aperçois que j'ai oublié de préciser, presque le plus important quant à mon problème...

mon formulaire où je saisi mes identifiants est en POST et la méthode appelée dans mon contrôleur pour vérifier les identifiants dispose bien de la "balise" [HttpPost] avant sa déclaration:

code du formulaire:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
<form asp-action="Login" method="post">
                    <div class="input-group mb-3">
                        <input asp-for="user" class="form-control" placeholder="Nom d'utilisateur">
                        <div class="input-group-append">
                            <div class="input-group-text">
                                <span class="fas fa-envelope"></span>
                            </div>
                        </div>
                    </div>
                    <div class="input-group mb-3">
                        <input type="password" asp-for="password" class="form-control" placeholder="Mot de passe">
                        <div class="input-group-append">
                            <div class="input-group-text">
                                <span class="fas fa-lock"></span>
                            </div>
                        </div>
                    </div>
                    <div class="row">
 
                        <!-- /.col -->
                        <div class="col-6">
                            <button type="submit" class="btn btn-primary btn-block">Se Connecter</button>
                        </div>
                        <!-- /.col -->
                    </div>
                    <div class="form-group row">
                        <div class="offset-4 col-8">
                            <label class="col-8 col-form-label">@ViewBag.loginresult</label>
 
                        </div>
                    </div>
                </form>

code de la méthode dans mon contrôlleur:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
 
[HttpPost]
         public ActionResult Login(Login creds)
         {
 
             var Logon = new DirectoryEntry("LDAP://serveurAD", creds.user, creds.password);
             try
             {
                 Logon.RefreshCache(); 
 
                 creds.usr = Base64UrlEncoder.Encode(creds.user);
                 creds.pass = Base64UrlEncoder.Encode(creds.password);
                //debug
                ViewBag.loginresult = "Connection OK";
 
                 return RedirectToAction("Dashboard","Dashboard",new { creds.usr, creds.pass });
             }
             catch (COMException ex)
             {
                //debug
                ViewBag.loginresult = "Connection KO";
            }
             return this.View() ;     
         }

merci à vous

[DotNetMatt]

car je ne veux pas connecter l'utilisateur en cours et je ne veux pas faire d'impersonation, l'application va se connecter à un active directory et avoir accès en lecture écriture aux utilisateurs etc... d'où ma volonté de passer un par un formalaire.

Cette phrase est contradictoire. Il est obligatoire de s'identifier pour pouvoir acceder aux infos de l'AD sauf si tu as active l'acces anonyme… Mais meme l'acces anonyme utilise un login specifique.

Peux-tu preciser ton scenario STP ?