Autenticación
La autentificación de los usuarios es necesaria cuando se desea ofrecer derechos de acceso específicos a los usuarios Web. La autenticación designa el modo en que se recoge y procesa la información relativa a las credenciales del usuario (normalmente nombre y contraseña).
Modos de autenticación
El servidor web 4D ofrece tres modos de autenticación, que puede seleccionar en la página Web/Opciones (I) de la ventana Propiedades:
Se recomienda utilizar una autenticación personalizada.
Generalidades
El funcionamiento del sistema de acceso del servidor web 4D se resume en el siguiente diagrama:
Las peticiones que comienzan por
rest/
son gestionadas directamente por el servidor REST.
Personalizado (por defecto)
Básicamente, en este modo, depende del desarrollador definir cómo autenticar a los usuarios. 4D sólo evalúa las peticiones HTTP que requieren una autenticación.
Este modo de autenticación es el más flexible porque permite:
- o bien, delegar la autenticación del usuario a una aplicación de terceros (por ejemplo, una red social, SSO);
- o bien, ofrecer una interfaz al usuario (por ejemplo, un formulario web) para que pueda crear su cuenta en su base de datos clientes; luego, puede autenticar a los usuarios con cualquier algoritmo personalizado (ver este ejemplo del Lo importante es que nunca guarde la contraseña en claro, utilizando ese código:
//... creación de cuenta de usuario
ds.webUser.password:=Generate password hash($password)
ds.webUser.save()
Ver también este ejemplo del capítulo "Cómo comenzar".
Si no se proporciona autenticación personalizada, 4D llama al método base On Web Authentication
(si existe). Además de $urll y $content, solo se proporcionan las direcciones IP del navegador y del servidor ($IPClient y $IPServer), el nombre de usuario y la contraseña ($user y $password) están vacíos. El método debe devolver True en $0 si el usuario se autentifica con éxito, entonces se sirve el recurso solicitado, o False en $0 si la autenticación falló.
Atención: si el método de base de datos
On Web Authentication
no existe, las conexiones se aceptan automáticamente (modo de prueba).
Protocolo Basic
Cuando un usuario se conecta al servidor, aparece una caja de diálogo estándar en su navegador para que introduzca su nombre de usuario y contraseña.
El nombre y la contraseña introducidos por el usuario se envían sin cifrar en el encabezado de la petición HTTP. Este modo suele requerir HTTPS para ofrecer confidencialidad.
A continuación, se evalúan los valores introducidos:
- Si la opción Incluir contraseñas de 4D está marcada, las credenciales de los usuarios se evaluarán primero contra la tabla interna de usuarios 4D.
- Si el nombre de usuario enviado por el navegador existe en la tabla de usuarios 4D y la contraseña es correcta, se acepta la conexión. Si la contraseña es incorrecta, se rechaza la conexión.
- Si el nombre de usuario no existe en la tabla de usuarios 4D, se llama al método base
On Web Authentication
. Si el método baseOn Web Authentication
no existe, se rechazan las conexiones.
- Si la opción Incluir contraseñas 4D no está marcada, las credenciales de usuario se envían al método base
On Web Authentication
junto con el resto de parámetros de conexión (dirección IP y puerto, URL...) para que pueda procesarlos. Si el método baseOn Web Authentication
no existe, se rechazan las conexiones.
Con el servidor Web del cliente 4D, tenga en cuenta que todos los sitios publicados por las máquinas 4D Client compartirán la misma tabla de usuarios. La validación de los usuarios/contraseñas la realiza la aplicación 4D Server.
Protocolo DIGEST
Este modo ofrece un mayor nivel de seguridad, ya que la información de autenticación se procesa mediante un proceso unidireccional llamado hashing que hace que su contenido sea imposible de descifrar.
Al igual que en el modo BASIC, los usuarios deben introducir su nombre y contraseña al conectarse. A continuación, se llama al método base On Web Authentication
. Cuando se activa el modo DIGEST, el parámetro $password (contraseña) se devuelve siempre vacío. De hecho, cuando se utiliza este modo, esta información no pasa por la red como texto claro (sin encriptar). Por lo tanto, en este caso es imprescindible evaluar las solicitudes de conexión mediante el comando WEB Validate digest
.
Debe reiniciar el servidor web para que se tengan en cuenta los cambios realizados en estos parámetros.
On Web Authentication
El método de base de datos On Web Authentication
se encarga de gestionar el acceso al motor del servidor web. Es llamado por 4D o 4D Server cuando se recibe una petición HTTP dinámica.
Llamadas a métodos base
El método base On Web Authentication
se llama automáticamente cuando una solicitud o procesamiento requiere la ejecución de algún código 4D (excepto para las llamadas REST). También se llama cuando el servidor web recibe una URL estática no válida (por ejemplo, si la página estática solicitada no existe).
Por tanto, se llama al método base On Web Authentication
:
- cuando el servidor web recibe una URL que solicita un recurso que no existe
- cuando el servidor web recibe una URL que empieza por
4DACTION/
,4DCGI/
... - cuando el servidor web recibe una URL de acceso a la raíz y no se ha definido ninguna página de inicio en la Configuración o mediante el comando
WEB SET HOME PAGE
- cuando el servidor web procesa una etiqueta que ejecuta código (por ejemplo,
4DSCRIPT
) en una página semidinámica.
Por tanto, NO se llama al método base On Web Authentication
:
- cuando el servidor web recibe una URL que solicita una página estática válida.
- when the web server receives a URL beginning with
rest/
and the REST server is launched (in this case, the authentication is handled through theds.authentify
function or (deprecated) theOn REST Authentication
database method or Structure settings).
Sintaxis
On Web Authentication( $url : Text ; $content : Text ; $IPClient : Text ; $IPServer : Text ; $user : Text ; $password : Text ) -> $accept : Boolean
Parámetros | Tipo | Descripción | |
---|---|---|---|
$url | Text | <- | URL |
$content | Text | <- | Encabezados HTTP + cuerpo HTTP (hasta un límite de 32 kb) |
$IPClient | Text | <- | Dirección IP del cliente web (navegador) |
$IPServer | Text | <- | Dirección IP del servidor |
$user | Text | <- | Nombre de usuario |
$password | Text | <- | Contraseña |
$accept | Boolean | -> | True = solicitud aceptada, False = solicitud rechazada |
Debe declarar estos parámetros de la siguiente manera:
// On Web Authentication database method
#DECLARE ($url : Text; $content : Text; \
$IPClient : Text; $IPServer : Text; \
$user : Text; $password : Text) \
-> $accept : Boolean
//Code for the method
Todos los parámetros del método base On Web Authentication
no están necesariamente rellenados. La información recibida por el método base depende del modo de autenticación seleccionado).
$url - URL
The first parameter ($url
) is the URL received by the server, from which the host address has been removed.
Tomemos el ejemplo de una conexión a la Intranet. Supongamos que la dirección IP de su máquina 4D Web Server es 123.45.67.89. The following table shows the values of $urll depending on the URL entered in the Web browser:
URL introducida en el navegador web | Value of parameter $urll |
---|---|
123.45.67.89 | / |
http://123.45.67.89 | / |
123.45.67.89/Customers | /Customers |
http://123.45.67.89/Customers/Add | /Customers/Add |
123.45.67.89/Do_This/If_OK/Do_That | /Do_This/If_OK/Do_That |
$content - Header and Body of the HTTP request
The second parameter ($content
) is the header and the body of the HTTP request sent by the web browser. Tenga en cuenta que esta información se pasa a su método base On Web Authentication
tal cual. Su contenido variará en función de la naturaleza del navegador web que intenta la conexión.
Si su aplicación utiliza esta información, deberá analizar el encabezado y el cuerpo. Puede utilizar los comandos WEB GET HTTP HEADER
y WEB GET HTTP BODY
.
For performance reasons, the size of data passing through the $content parameter must not exceed 32 KB. Más allá de este tamaño, son truncados por el servidor HTTP de 4D.
$IPClient - Dirección IP del cliente web
The $IPClient
parameter receives the IP address of the browser’s machine. Esta información puede permitirle distinguir entre las conexiones a la intranet y a Internet.
4D devuelve las direcciones IPv4 en un formato híbrido IPv6/IPv4 escrito con un prefijo de 96 bits, por ejemplo ::ffff:192.168.2.34 para la dirección IPv4 192.168.2.34. Para más información, consulte la sección Soporte IPv6.
$IPServer - Dirección IP del servidor
The $IPServer
parameter receives the IP address used to call the web server. 4D permite el multi-homing, que permite explotar máquinas con más de una dirección IP. Para más información, consulte la página Configuración.
$user and $password - User Name and Password
The $user
and $password
parameters receive the user name and password entered by the user in the standard identification dialog box displayed by the browser. Esta caja de diálogo aparece para cada conexión, si se selecciona la autenticación basic o digest.
If the user name sent by the browser exists in 4D, the $password parameter (the user’s password) is not returned for security reasons.
$accept - Retorno de función
The On Web Authentication
database method returns a boolean:
-
If it is True, the connection is accepted.
-
If it is False, the connection is refused.
El método base On Web Connection
sólo se ejecuta si la conexión ha sido aceptada por On Web Authentication
.
- If no value is returned, the connection is considered as accepted and the
On Web Connection
database method is executed. - No llame a ningún elemento de la interfaz en el método base
On Web Authentication
(ALERT
,DIALOG
, etc.) porque de lo contrario su ejecución será interrumpida y la conexión será rechazada. Lo mismo ocurrirá si se produce un error durante su procesamiento.
Ejemplo
Ejemplo del método base On Web Authentication
en Modo DIGEST:
// Método base On Web Authentication
#DECLARE ($url : Text; $header : Text; $ipB : Text; $ipS : Text; \
$user : Text; $pw : Text) -> $valid : Boolean
var $found : cs.WebUserSelection
$valid:=False
$found:=ds.WebUser.query("User === :1";$user)
If($found.length=1) // El usuario se encuentra
$valid:=WEB Validate digest($user;[WebUser]password)
Else
$valid:=False // El usuario no existe
End if