Thông tin về người dùng và quyền truy nhập cho nhóm người dùng được lưu trong cơ sở dữ liệu. Trong ví dụ này thơng tin được lưu trữ trong một SQL Express database (RAUN) tên là ASPNETDB.mdf trong folder App_Data của ứng dụng MVC. Database ASPNETDB.mdf được sinh tự động bởi ASP.NET Framework khi sử dụng membership. Mặc định ASPNETDB.mdf bị ẩn, vào Solution Explorer, chọn Show All Files sẽ thấy ASPNETDB.mdf nằm cùng với Database.mdf ở dùng một thư mục App_Data (Figure 9)
Microsoft Vietnam – DPE team | Bài số 6: Bảo mật với ASP.NET MVC Application 8
Thông thường các ứng dụng thực tế, hầu hết các nhà phát triển đều ít khi dùng database nằm trong SQL Express mà thường sử dụng SQL Server để lưu trữ database. Có thể thay đổi để SQL Server lưu trữ thông tin người dùng bằng hai bước sau:
Thêm một đối tượng database Application Services trong hệ quản trị cơ sở dữ liệu (SQL Server) Thay đổi connectionstring trong web.config trỏ đến database đã được tạo
2.1 Sử dụng SQL Server 2005
Tạo một database mới trong SQL Server 2005 (hướng dẫn này sử dùng phiên bản Developer). (Figure 10)
Figure 10. Tạo database BanHang trong SQL Server 2005
Thêm tất cả các table và stored procedure vào database mới. Sử dụng công cụ ASP.NET SQL Server Setup Wizard để sửa đổi thông tin trong database BanHang:
Vào Start All Programs Visual Studio 2008 Visual Studio Tools Visual Studio 2008 Command
Prompt rồi đánh vào aspnet_regsql (Figure 11)
Figure 11. Thực thi aspnet_regsql từ Visual Studio 2008 Command Prompt
Thực hiện tuần tự các bước đơn giản để sửa đổi cơ sở dữ liệu BanHang lưu thông tin về người dùng và membership. Database này có thể nằm trong mạng khơng nhất thiết phải nằm ở máy cục bộ. (Figure 12)
Microsoft Vietnam – DPE team | Bài số 6: Bảo mật với ASP.NET MVC Application 9
Figure 12. Cập nhật database BanHang để lưu thông tin người dùng
Sửa đổi file cấu hình web.config trong ứng dụng ASP.NET MVC Application để chuyển lưu trữ thông tin người dùng vào database BanHang trong SQL Server 2005 thay vì sử dụng database ASPNETDB.MDF có sẵn của Visual Studio 2008 trong folder App_Data.
Trong file web.config sử dụng ASPNETDB.MDF mặc định để lưu thông tin người dùng <connectionStrings>
<add name="ApplicationServices" connectionString="data source=.\SQLEXPRESS;Integrated Security=SSPI;AttachDBFilename=|DataDirectory|aspnetdb.mdf;User Instance=true"
providerName="System.Data.SqlClient"/> </connectionStrings>
Sửa đổi web.config sử dụng database BanHang trong SQL Server để lưu thông tin người dùng. <connectionStrings>
<add name="ApplicationServices" connectionString="Data Source=HUNTER-XX\SQL2005;Initial Catalog=BanHang;User ID=sa;Password=abc@123;" providerName="System.Data.SqlClient" /> </connectionStrings>
2.2 Cấu hình truy nhập database trong SQL Server
Sử dụng Intergrated Security để kết nối database cần được thêm một tài khoản người dùng của Windows để đăng nhập vào database. Tài khoản này phụ thuộc vào sử dụng web server nào khi thực thi ứng dụng gồm ASP.NET Development Server (mặc định của Visual Studio) và Internet Information Services (component của Windows), và tài khoản đăng nhập database cũng phụ thuộc vào hệ điều hành.
Nếu sử dụng ASP.NET Developmet Server cần thêm tài khoản người dùng của Windows để đăng nhập vào database server. Nếu sử dụng IIS cần phải thêm tài khoản người dùng ASPNET (trong WindowsXP) hoặc NT AUTHORITY/NETWORK SERVICE (trong Windows Vista/Windows Server 2008/Windows 7) để đăng nhập database server.
Microsoft Vietnam – DPE team | Bài số 6: Bảo mật với ASP.NET MVC Application 10
Thêm tài khoản người dùng mới để đăng nhập database sử dụng công cụ Microsoft SQL Server Management Studio (Figure 13)
Figure 13. Tạo tài khoản đăng nhập mới cho database
Sau khi tạo tài khoản đăng nhập database, cần phải thiết lập quyền truy nhập của tài khoản. Thiết lập quyền truy nhập sử dụng User Mapping (Figure 14).
Figure 14. Thiết lập roles cho tài khoản đăng nhập database