Недавно пришлось пришлось полазить по интернету для поиска подходящего способа авторизации пользователей в программе.
Того, чего хотелось не нашел. Пришлось разрабатывать самому, используя старые наработки и сведя всё в кучу. Вот выкладываю на суд то, что получилось. Выдрано из рабочей программы, так что есть лишние таблицы и формы.

Модуль авторизации

Прежде чем продолжить работу над работами (фу, тавталогия...) решил сделать модуль авторизации пользователей. Пригодится.

Данный модуль имеет 3 вида авторизации
1. без авторизации
2. Windows авторизация
3. авторизация по Login/Password
Выложен он будет в режиме "Без авторизации"

Переключать режимы авторизации может администратор программы. Для этого надо нажать кнопку " Сервис " (ключ и молоток) Появляется форма " Сервис " с двумя кнопками (пока).
Нажимаем на кнопку " Настройка программы ".Программа запросит пароль администратора.

ВНИМАНИЕ! Сейчас для администратора установлен пароль " 121212 ". Для всех остальных пользователей пароль не установлен. Логин администратора всегда " admin ". Этот логин зарезервирован за системой. Пользователи не должны его использовать.

Вводим пароль. Откроется форма " Настройки программы ". Выбираем нужный режим и закрываем форму.
Тут можно сменить и пароль администратора, нажав кнопку " Смена пароля текущего пользователя ". У Вас снова будет запрошен пароль администратора, При правильном вводе будет предложено ввести новый пароль. Так меняется пароль администратора в режиме " Без авторизации "

Пользователей (менеджеров) и логины для них задаёт руководитель. А вот пароль устанавливает сам пользователь.

Для изменения параметров пользователей нажмите на кнопку "Менеджеры" (два профиля). Откроется форма со списком пользователей. Внизу есть кнопки " Добавить ", " Изменить ", " Удалить ".
Выберите пользователя и нажмите на кнопку " Изменить ". Откроется соответствующая форма. Перейдите на закладку " Авторизация ".
Там находятся два поля " Логин Windows " и " Логин программы "
В поле " Логин Windows " вносится логин под которым пользователь регистрируется в Windows . Предназначен для режима Windows авторизации.
В поле " Логин программы " вносится логин для режима авторизации Login/Password . При создании нового пользователя пароль всегда пустой. Чтобы его изменить, необходимо при заданном режиме " Авторизация по Login/Password " войти в программу по своим логином. В поле " Пароль " ничего не вводить. Затем выбрать режим " Сервис " и " Смена пароля текущего пользователя ". Введите новый пароль и подтвердите его. Пробелы вводить нельзя. Регистры в пароле учитывается.
Кроме того там есть кнопка для сброса пароля. Если пользователь забыл свой пароль, то руководитель может его сбросить.

Логины и пароли пользователей хранятся в таблице UserManager . Режим авторизации и пароль администратора хранятся в таблице tbl_SetProgramm .

При " Windows авторизации " программа при запуске просматривает поле LoginWin в таблицы UserManager . В случае совпадения входит в программу под найденным логином.

При авторизация по Login/Password программа запрашивает логин и пароль пользователя.

Попробуйте, как работает и выскажите своё мнение.

Заданные мной логины для программы
Иванов - Ivan
Петров - Peter
Сидоров - Sidor
Александров - Alex
Фёдоров - Fedor
Ефимов - Efim
Сергеев - Serg
Регистр для логина неважен. т.е. Alex=alex=aLeX

P.S. Ещё раз напоминаю, пароль для администратора сейчас установлен 121212 .

-------------------------------------------------------------
А ты вложил уже свой кровный рубль в 50-ти миллиардное состояние Билла Гейтса?

Ну что ответить на замечания?
Это пример не по взлому защиты, а по организации авторизации пользователей. То, что пароли надо шифровать, я догадываюсь. В следующей версии могу реализовать. Сюда не пихал, чтоб был наглядней принцип и алгоритм авторизации.

Кстати, по-этому и никакие защиты не ставил. Не от Shift, ни отключение спецклавишь, ни пароль на VBA.

А вообще, каково впечатление? Без замечания на шифрование паролей, открытия панели навигации и Shifta.

Про то, что звёздочки можно расшифровать - я знаю. Даже где-то программа валялась - кажется asterics называется. Но вы упустили из вида, что звёздочки - это от подглядывания. Чтоб запустить программу, надо сидеть за клавой. А тот, кто вводит пароль и так его знает.

Predeclareddic.academic.ruАвторизация (от английского «Authorization») – понятие, изначально использовавшееся в банковской сфере,
в области платежных карт и означает процедуру идентификации лица для предоставления доступа к неким ресурсам или возможностям,
имеющим ограниченный доступ...
Этот пример не показывает решения основной задачи авторизации пользователей. Вы хотите сказать, что этот пример не решает задачу идентификации пользователя? И почему же? Программа может эксплуатироваться в разных условиях Может требоваться идентификация, может - нет. Здесь даны два метода идентификации пользователей. Windows и Login/Password.

И давайте разделять задачи. Задачу закрыть доступ злоумышленнику к таблицам и коду и задачу разграничить доступ пользователям к информации средствами программы.

aleckoJoss, принцип присвоил и забыл тут уже не действует, все время нужно будет изменять что-то (а если не менять то зачем тогда вводить) - если эти данные нужны, то нужно брать их наверное из учетно-кадровой программы (в которой есть приказы и пр.-которую ведет сотрудник, отвечающий за верность данных), в общем случае мне кажется что самое лучшее это логин/пароль - причем вводить пароль и определять логин и все. исходя из логина - права и роли - здесь этого нет (или выбор отдела это и есть оно?). кнопку лог в список сотрудников наверное нужно добавить.

Похоже, Вы не совсем поняли проблему. Есть задача в которой работает несколько человек. Надо протоколировать их работу (некоторую) и разграничить доступ к информации (определённой). Никаких кадровых программ тут не надо. Это хвосты той программы, из которой я выдрал этот кусок. Что бы работать с программой пользователь должен себя идентифицировать. А дальше вступают в действие роли, прописанные в программе.

PredeclaredДа.

Во первых, я показал как легко обойти авторизацию данного примера .
Ну да бог с ним.
Во вторых:
dic.academic.ru... для предоставления доступа к неким ресурсам или возможностям,
имеющим ограниченный доступ...
в примере этого нет.
Различных наборов меню для пользователей разных ролей нет.
Разных наборов записей в формах/отчетах для пользователей разных ролей нет.

Нет ничего, за что можно было бы зацепиться глазом.
Студентам может сгодится, сдать зачет и забыть. Так Вам что, в качестве примера всю задачу выложить? Тяжеловат он будет. Да и бесполезен.
Ведь для каждой задачи надо писать свои меню, свои роли.
Здесь же я хотел показать кусочек задачи: вход в программу с идентификацией пользователя. Как задать пароль, как войти, способы идентификации.

Если хотите посмотреть как реализовано разделение по ролям, с запретом определённых действий и информации, то добро пожаловать вот сюда Программа для ведения учета автотранспорта и дорожно-строительных механизмов В предпоследнем комменте версия для Access 2000. Вот тут А чуть выше мы с пользователем Roja обсуждали защиту.

vmagВроде работает, не очень хорошо хранение паролей в явном виде, звездочки тоже фигня, желательно шифровать пароли, а лучше вместо них хранить контрольную сумму пароля (и короче и не понять что это такое) Ну, если злоумышленник смог добраться до таблиц, то тут шифруйся - не шифруйся - всё едино. Прописаны пароли только для Login/Password авторизации. А там либо копируешь в свою запись привилегии начальника, либо копируешь в запись начальника свой пароль и заходишь как начальник, под его логином.

У себя на работе я везде сделал Windows авторизацию. Её обойти чуть-чуть сложнее. Но не намного. Повторяю: если злоумышленник смог добраться до таблиц, то всё остальное дело времени. Или шифровка не отдельных полей, а целых записей. Только быстродействие резко просядет. И трудоёмкость разработки резко возрастёт.

ОзверинJoss, наверное, windows авторизацию можно переделать. На SID пользователя или хотя бы определять рабочую группу\домен пользователя+логин по понятным причинам. Честно говоря не вижу причин для переделки. Очень страшно секретные данные в такой базе хранить не станешь. А если база стащена и получен доступ к таблицам, то остальное только дело времени и упорства.

Да, и такой вопрос. Если Вы вошли в сеть с другого компьютера (ваш забрали на ремонт) То Ваш SID изменится?

ОзверинОзверинJoss, а я бы если бы перевел пользователей на access 2007+ - ввел бы авторизацию по времеенному паролю, который высылал бы на телефон ;) Пароль действует 8 часов и баста

И вообще саму аутентификацию вынес бы за рамки Акса..набросал бы сервис аутентификации или использовал бы сторонний, например - гугл. Вход через гугл учетку - модно\молодежно! Вы немного увлеклись. Я хочу получить обычную садовую тачку для перевозки песка и земли, а Вы мне предлагаете автоматическую грузовую платформу с дистанционным управлением и GPS навигацией. Нет у меня задач под такую защиту.

Начальство/заказчик просто хочет, чтоб Вася и Коля, которые работают с этой программой не лезли в дела/записи друг друга, И чтобы Витя, которому до этих задач вообще нет дела, не совал бы свой любопытный нос куда не надо. И чтобы оно (начальство) всегда могло определить кто, что натворил и кого за это иметь.

Озверин... Но если у вас пользователи имеют возможность сменить себе логин или завести нового локального пользователя - то как бе не проблема зайти под кем угодно.

Это Вы о моей программе? Для авторизации Login/Password ?
Или о Windows?

Озверин...
да я понимаю. Но ведь люди должны уставать клепать садовые тележки...А то, что вы заявили, есть в бесплатном доступе - зачем это создавать по сто раз, да еще и на устаревших технологиях? Вон, пусть берут какую нить модную бесплатную CRM и crmят там. Допустим, тот же битрикс24(облако) до 12 человек бесплатен. Или какую нить опенсурс качают да используют. Да нет. Про CRM всё понятно. Это вообще не моя разработка, а evgenii3000 . Наткнулся я на неё решая свои задачи. Я и не собираюсь её развивать (может как-нибудь для какого-то конкретного случая). Я на ней хочу просто одну идею отработать. Сделаю - выложу для обсуждения. А сейчас меня интересует только модуль авторизации. Его узкие места.

Я сейчас возьму перерыв, почищу всё лишнее, что-бы не смущать людей. Уберу лишние таблицы, формы, запросы. Просто хочу получить законченный модуль, который потом можно будет легко встраивать в другие программы. А потом уже прописывать роли и всё прочее.

P.S. Исходный пример был в формате A2007. Я специально перевел модуль в формат A2000, что бы больше людей с ним тут ознакомилось.

P.S.S. Но ведь люди должны уставать клепать садовые тележки... (с) Да. Я устал. Но делать космические корабли мне не предлагают. А садовые тележки с моторчиками иногда пользуются спросом.

Вот новая версия модуля авторизации. Подчистил хвосты. Убрал все дополнительные таблицы и формы. Теперь ничего не должно отвлекать.

Что не сделал.
Не сделал шифрование пароля. Если надо, то сделаю в следующей версии.

aleckoJoss, для входа, пароль вводить необязательно. ввел Логин, зашел, можно завести нового пользователя. вобщем никаких ограничений.
и это окно при выходе... может просто перенести кнопку выхода вверх вправо - и не спрашивать очевидное?Ну поставил бы я опрос на возможность добавлять пользователей только админу? Ну и что?

Просто у нас в организации немного другая политика взаимодействия между пользователями, админами/разработчиками баз данных и админами сети.
Пользователей Windows добавляет, выделяет сетевые ресурсы и изменяет параметры только админ сети.
Админ/разраб БД делает первичную настройку программы, прописывает пути к таблицам, резервное копирование, раздаёт первичные привилегии в базе.
А потом уже ответственный за базу в отделе, чаще всего старший группы, сектора, реже - отдела, вносит новых пользователей, даёт им привилегии, прописывает роли.

Хотя кое в чём Вы и правы. Надо в примере для рядовых пользователей ввести запрет на изменение, добавление новых пользователей.
Доработаю - выложу.

Новая версия программа. Теперь добавить удалить и изменить параметры, а так же сменить способ авторизации может или "Admin" или пользователь с администраторскими привилегиями. В параметрах пользователя появился флажок "Администратор"

Подумаю. На счёт ругательств согласен. Лень было код дописывать. На счёт суперюзера не понял. Чем флажок "Администратор" не устраивает?

Озверин, и что это значит?

ОзверинJossОзверин, и что это значит?

что твой код можно посмотреть на гитхабе. можно загрузить его. изменить - вдруг комьюнити подключится. По-хорошему, следует избавиться от русских букв в комментариях и сообщениях ) Можно конечно всё на English перевести, но я сомневаюсь, что кого-нибудь из-за бугра это заинтересует. А у нас дай бог что бы без ошибок по-русски писали.

P.S. Честно говоря, я не знаю что такое гитхаб. Позор на мою лысую голову...

Вчера дома дорабатывал модуль по предложениям aleco. Но вот куда потом его скинул, найти не могу. Сейчас загрузили работой. Или вечером посмотрю дома или когда освобожусь попробую наработки восстановить по памяти.

И на счёт шифрования пароля в таблице. Если я выложу программу шифрования, то любой сможет расшифровать зашифрованное, тогда зачем она? Любители могут посмотреть на сайте NSA пример по шифровке данных в таблице. Могу его встроить в модуль.

ПанургJossЕсли я выложу программу шифрования, то любой сможет расшифровать зашифрованное, тогда зачем она?Пароли не шифруют, хранят хэш.
Значит нужна программа хеширования паролей на VBA. У Вас она есть? У меня нет. Серьёзно. Хочу поискать. Где-то лежал расчёт CRC32 на VB. Может его приспособить.
И я писал, что если злоумышленник добрался до таблиц, то наличие шифрования паролей его вряд ли остановит.

И кстати, в интернете можно найти ломалки и онлайн сервисы по подбору паролей по их хэшу. Я даже как-то таким пользовался.

ПанургТакие секретные данные в базе? Та нет там ничего секретного. Лично у меня в базе хранятся данные по анкетам. И идентификация служит для того, чтобы определить, кто внёс, когда и сколько.

Для более серьёзных вещей ведётся протоколирование. Не только кто и когда, но и что именно изменил, добавил или убрал.

Выдалось немного свободного времени. Подправил программу по замечаниям aleco. Теперь при открытии списка пользователей обычным пользователем кнопки для добавления, изменения и удаления не видны.

Как говорится, совершенству нет предела.
В моей программе есть несколько проблемных мест. Одно из них - ввод пароля администратора через InputBox. Все сидящие рядом могут его увидеть. Надо было или разрабатывать специальную форму для ввода пароля или модернизировать функцию InputBox так, что бы она могла работать в режиме ввода паролей (***). После недолгого поиска в сети я это нашел.
Теперь предлагаю новую версию программы с вводом пароля в скрытом режиме.

Программа тестировалась в Access 2010 64/32 под Windows 7 64/32 и в Access 2016 32 под Windows 10 64. Других под рукой не оказалось.