Käyttäjän autentikointi ja autorisointi ASP.NET -sovelluksessa
Heikkilä, Leo-Henri (2013)
Oulun seudun ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2013111316991
https://urn.fi/URN:NBN:fi:amk-2013111316991
Tiivistelmä
Työ tehtiin Siperia Systems Oy:lle, joka on oululainen ohjelmistokehitysyritys. Yritys kehittää öljyntorjuntaan ja ympäristön suojeluun liittyvää mobiilisovellusta. Sovelluksen avulla voidaan lähettää palvelimelle esimerkiksi kuvia, tapahtumapaikan koordinaatteja sekä erilaisia mittaustietoja. Sovellusta voidaan käyttää useammalla laitteella samanaikaisesti, jolloin laitteen tai käyttäjän tunnistautuminen palveluun on tärkeää. Lisäksi lähetettävät tiedot voivat sisältää arkaluontoisia tietoja, jonka vuoksi tiedonsiirto täytyy salata.
Työn tavoitteena oli kehittää yrityksen uuden mobiilisovelluksen palvelinpuolen ohjelmistoa. Työn tietoperusta koostuu .NET-ohjelmistokehykseen liittyvistä tuetut kielet-, luokkakirjastot- sekä ASP.NET -osioista. Lisäksi teoriaosuudessa käydään läpi ASP.NET MVC 4 Web API ja siinä tuettuja ominaisuuksia, tarkastellaan MVC-arkkitehtuuria sekä määritellään käsitteet autentikointi ja autorisointi.
Työssä on käytetty suurimmaksi osaksi Microsoftin vuoden 2012–2013 aikana julkaistuja lähteitä, koska käytännön osuudessa käytetty Web API -palvelu on julkaistu vuonna 2012. Opinnäytetyön työosuudessa saatiin onnistuneesti rakennettua palvelu, johon käyttäjä voi tunnistautua. Tunnistautumisen jälkeen käyttäjä voi tehdä palveluun autorisointia vaativia kutsuja. Toimeksiantaja käyttää opinnäytetyön Demossa käytettyjä ratkaisuja yrityksen uuden mobiilisovelluksen HTTP-palvelun kehityksessä.
Palvelun jatkokehitykseen ehdotettiin muun muassa seuraavia ratkaisuja: Autentikointi rakennettaisiin tietoturvan lisäämiseksi filter-luokkaan tai HTTP message handler:n. Käyttäjät tulisi jakaa ryhmiin autentikoinnin yhteydessä. Lisäksi suositeltiin cross-site request forgery -tokenin käyttöönottoa lisäämään tietoturvaa tiedonvälityksessä.
Työn tavoitteena oli kehittää yrityksen uuden mobiilisovelluksen palvelinpuolen ohjelmistoa. Työn tietoperusta koostuu .NET-ohjelmistokehykseen liittyvistä tuetut kielet-, luokkakirjastot- sekä ASP.NET -osioista. Lisäksi teoriaosuudessa käydään läpi ASP.NET MVC 4 Web API ja siinä tuettuja ominaisuuksia, tarkastellaan MVC-arkkitehtuuria sekä määritellään käsitteet autentikointi ja autorisointi.
Työssä on käytetty suurimmaksi osaksi Microsoftin vuoden 2012–2013 aikana julkaistuja lähteitä, koska käytännön osuudessa käytetty Web API -palvelu on julkaistu vuonna 2012. Opinnäytetyön työosuudessa saatiin onnistuneesti rakennettua palvelu, johon käyttäjä voi tunnistautua. Tunnistautumisen jälkeen käyttäjä voi tehdä palveluun autorisointia vaativia kutsuja. Toimeksiantaja käyttää opinnäytetyön Demossa käytettyjä ratkaisuja yrityksen uuden mobiilisovelluksen HTTP-palvelun kehityksessä.
Palvelun jatkokehitykseen ehdotettiin muun muassa seuraavia ratkaisuja: Autentikointi rakennettaisiin tietoturvan lisäämiseksi filter-luokkaan tai HTTP message handler:n. Käyttäjät tulisi jakaa ryhmiin autentikoinnin yhteydessä. Lisäksi suositeltiin cross-site request forgery -tokenin käyttöönottoa lisäämään tietoturvaa tiedonvälityksessä.