Задача: на ASP.NET сделать тонкого клиента для доступа к БД (MS SQL). Изначально доступ будет осуществлятся только по внутренней корпоративной сети, возможно в дальнейшем - выставить наружу.

Как сделал подключение:
в Web.Config прописал:

На страничку бросил пару полей (login-имя пользователя, pass-пароль), кнопку и GridView.
В событие на кнопку прописал следующее:

ОГРОМНАЯ просьба: выскажите свои соображения по поводу данного способа подключения.
Заранее огромное спасибо!
P.S.С ASP.NET и вообще с .NET абсолютный новичок.

Raptor1. Зачем тебе ConnectionString в web.config, если оно нигде не используется?


хм...
Отключил - работает!

Raptor2. Сколько ты думаешь пользователей смогут регистрироваться на твоем сайте по твоей схеме подключения, что у каждого пользователя сайта свои логин и пароль в SQL Server?

Планируется около 200-300 одновременно.
Да, у каждого свой логин и свой пароль.

bazaeaЧем не устроил стандартный механизм?Что Вы имеете в виду?
Заранее прописать какого-то пользователя с стандартными правами, в таблицу засунуть перечень пользователей (виртуальных) и их пароли и потом в зависимости от того, какого пользователя ввели, те данные и выдавать?

bazaeaЗачем каждому пользователю свой коннекшион стринг? Как же коннектион пул?А можно поподробнее?

bazaeaПод каким коннектом к базе будут обращаться анонимы и объекты уровня application?Анонимы к базе обращатся не должны.

bazaeaЗачем вам SqlCommandBuilder?Согласен.
Переборщил...

Raptorпо поводу 2-го, я так и не понял. зачем тебе создавать отдельных пользователей в БД. Обычно делают 1 пользователя на доступк к определенным данным и объхединяют его с группой внешних пользовтаелей. Количество пользователей в SQL Server (по крайней мере в 2000) ограничено порядка 32000 т.е. более ты сделать не сможешь!!!Пользователи будут заниматся оформлением договоров страхования.
Мне не очень нравится, что где-то в коде будет фигурировать хоть один login+password.

Лиман Артёмну так это будет юзер для подключения к БД (тот, что прописан в Users) - это может быть прописано в конфиге, а для аутентификации и авторизации можешь использовать дополнительную табличку. Тогда и пул будет применен (читай МСДН connection poolling)

Но в таком случае теоретически любой нехороший человек с помощью данного логина-пароля сможет получить доступ к всем данным.

Лиман Артёмну так данные в конфиге, если не ошибасюь, можна шифровать, держать в реестре, так что никто ничего не увидит
Спасибо, не знал...:-)

Но описанный мной способ также жизненный? Если не брать во внимание то, что нужно будет постоянно заводить новых пользователей?

Лиман Артёмчто значить жизненый? если ты имеешь ввиду будет ли так работать, то да. Но, мне так кажеться, такой подход мало кто использует ибо это не best practice
А как пул к точки зрения безопасности?

bazaea1)аутинтификация и авторизация пользователя средствами asp.net (forms). Все коннекты к базе от одного пользователя.
2)для виндового интранета - виндовая на web и sql

то что у Вас я так и не понял как разделение прав будет происходить на web.

коннекты к базе не по винавторизации не безопастны. Присутствие в сети снифера их легко отловит.Правильно ли я понимаю, что аутентификация с использованием Forms является более безопасной (за счет хеширования), чем та, что в начале темы я описал?

vbnet2000Не понимаю вообще смысла всей этой твоей бадяги.

Если это внутрикорпоративная сеть, просто пишешь
и в SQL-сервер входит конкретная Win-учетная запись. Тока галочку не забудь поставить на Web-сервере - Win-аутентификация.

Имхо, лучше не про пулы почитай, а про имперсонализацию

Но перед тем как отказатся от нормальной ASP2 аутентификации и применить свою схему (или имперсонализацию, о сем я тебе написал выше), хорошо подумай - у тебя пальцы не отвалятся 300 логинов в SQL заводить и там их админить? Плюс добавь что их надо еще админить в ActiveDirectory...

В том-то вся и соль, что ходить будут из разных сеток, и Win-аутентификация по этой причине не устраивает.
Меня больше беспокоит (точнее беспокоил) вопрос с подключением к БД, но все больше склоняюсь к организации пула.

bazaea>>ЗЫ я так и не понял как ты будешь организовывать распределение доступа на WEB. От хаоса в космос и далее к наличным На Web - обычный гостевой доступ: только чтобы пользователь смог залезть на сайт.

BrokenPotТе, которые данные вводят и редактируют, логинятся каждый под своим, потому что не только права у кажого свои, но и действия каждого из них - фиксируются, чтобы потом было видно, кто какую лажу сделал и кому какую клизму ставить. Т.е. Вы заводили 160 отдельных пользователей?

BrokenPotА еще у нас на предприятии в отделе кадров есть БД сотрудников. Так каждый сотрудник тоже туда заведен руками....

А сотрудников у нас на предприятии примерно 16 000 (шестнадцать тысяч). Представляете? :)Интересно, что же это за предприятие такое в Киеве, где работает 16 000 сотрудников?:-)
не стоит язвить...

[quot bazaea]>>а имя пользователя и пароль откуда возьмется для подключения по Вашей схеме к БД?/quot]
Сообщаем мы согласно его заявке на доступ.

BrokenPotНу, почему же не стоит? Каждый пользователь, действующий в базе, должен быть отловлен, идентифицирован и пригвожден. Иначе программер будет ВО ВСЕМ виноват. И чем пользователей больше, чем это правило актуальней.
Абсолютно согласен. Это было одной из причин того, почемы я создал данную тему.

BrokenPotВ Киеве довольно много таких предприятий. Хотите найти себе работу в Киеве? Нет, работу не ищу, сам живу в Киеве и действительно интересно.

bazaeaЯ имел ввиду откуда значения переменных (user pwd) беруться для коннектион стринга
На каждой странице вводятся?
Пользователь введет их один раз на стартовой странице, а потом хранить их в сесии и открывать коннекшн только в момент обращения к БД

bazaeaЗначит возможна ситуация когда пользователь зайдет на страницу x.aspx с нее попытается обратиться к базе а в сесси значения пароля и пользователя налы?
Да.
А что вы предлагаете?

Хотя теоретически можно проверять заполненность пары логина/пароля и в случае отсутствия делать редирект на страничку входа

bazaea
Огромное спасибо!
Еще такой вопрос: стоит ли заморачиватся с HTTPS?