All posts tagged 'SharePoint Server 2010'

Oi pessoal,

Estou de volta, novamente em 2012. Hoje quero mostrar como restringir múltiplas sessões de usuários concorrentes.

Minha abordagem serve tanto para SharePoint quanto para aplicações ASP.NET.

Cenário

Em sites SharePoint/ASP.NET que utilizam Forms Authentication e Session State, quando logados, o ASP.NET garante sessões a usuários.

Se você não fez nenhuma alteração na solução, provavelmente o mesmo usuário pode se logar na aplicação simultaneamente de diferentes browsers/desktops.

Este comportamento traz alguns problemas de segurança que você pode evitar por limitar a sessões a um usuário por conta.

Solução

Quando o usuário se logar, mapeie o ID de sua sessão e usuário utilizando o Application State, e quando o mesmo fizer o logout remova a sessão do mapeamento. Então em cada requisição você precisa interceptá-la e validá-la utilizando um Módulo.

Diagrama

Para ficar mais claro, verifique o Diagram de Sequência para esta solução:

diagram
Figura 1 – Diagrama de Sequência

Neste diagram os seguintes usuários e objetos são descritos:

Browser 1 e 2 – Representam os diferentes browsers utilizados para visualizar páginas.
Page – Objeto requisitado pelo browser.
httpApplication – Application State cujo escopo é global, do nível da aplicação.
httpModule – Módulo que intercepta as requisições das páginas.

OBS: Em todos os casos apenas um usuário (User A) faz as requisições de páginas em browsers diferentes.

Aqui estão os passos que descrevem o diagrama acima:

1 – Primeira requisição (Browser 1)

Na primeira requisição o SharePoint/ASP.NET Application se inicia, carregando o Application State (httpApplication).

O httpModule (a ser desenvolvido) é carregado pelo httpApplication.

Então a inicialização do módulo (Init) cria uma variável para armazenar as sessões de usuário no Application State e adiciona um event handler ao evento PostAcquireRequestState para ser ativado em cada requisição.

2 – Usuário A se loga (Browser 1)

O usuário A se loga ao web site, e a sessão do usuário (SessionContext) é mapeada pela variável armazenada no httpApplication.

3 – Usuário A se loga (Browser 2)

O usuário A se loga ao web site, e a sessão do usuário (SessionContext) é mapeada pela variável armazenada no httpApplication, que sobrescreve a sessão do usuário anteriormente criada.

4 – Requisição à qualquer página (Browser 1)

O usuário A tenta obter uma página diferente, mas agora sua sessão não está mais disponível no httpApplication. O SessionID armazenado difere do SessionID atual, então o módulo força a sessão a ser abandonada, redirecionando o usuário para a página de Login.

5 – Usuário faz logout (Browser 2)

O usuário A faz o logout e a sua sessão (SessionContext) é removida da variável armazenada no httpApplication. Sua sessão é abandonada e é redirecionado à página de Login.

Caso alternativo

Se o usuário fechar o browser a variável permanece no httpApplication e a sessão permanece ativa até que se expire. Quando o usuário se loga novamente, a variável é sobrescrita (caso 3 acima).

Código

Agora que está mais claro o propósito da solução, vamos dar uma olhada no código.

Uma classe é criada para armazenar o Session Context (contexto da sessão) do usuário:

Code Snippet

using System;
namespace Core
{
public class SessionContext
{
public string UserName { get; set; }
public string SessionID { get; set; }
}
}

A parte principal da solução é o httpModule que intercepta as requisições:

Code Snippet

using System;
using System.Collections.Generic;
using System.Web;
using System.Web.Security;
namespace Core
{
public class SessionManagerModule :IHttpModule
{
public SortedDictionary<string, SessionContext> ASPNETContext { get; set; }
#region IHttpModule Members
public void Init(HttpApplication context)
{
// Initializes the Application variable
if (context.Application["sessionSortedList"] == null)
{
ASPNETContext = new System.Collections.Generic.SortedDictionary<string, SessionContext>();
context.Application["sessionSortedList"] = ASPNETContext;
}
context.PostAcquireRequestState += new EventHandler(context_PostAcquireRequestState);
}
void context_PostAcquireRequestState(object sender, EventArgs e)
{
HttpApplication application = (HttpApplication)sender;
// Get the Application Context variable
var ASPNETContext = (SortedDictionary<string, SessionContext>)application.Application["sessionSortedList"];
HttpContext context = application.Context;
string filePath = context.Request.FilePath;
string fileExtension = VirtualPathUtility.GetExtension(filePath);
if (fileExtension.Equals(".aspx"))
{
if (application.Context.Session != null)
{
// Get the User Name
string userName = (application.Session != null) ? (string)application.Session["userName"] : string.Empty;
userName = userName ?? string.Empty;
//Try to get the current session
SessionContext currentSessionContext = null;
ASPNETContext.TryGetValue(userName, out currentSessionContext);
if (currentSessionContext != null)
{
// Validates old sessions
bool session = currentSessionContext.SessionID == application.Session.SessionID;
if (!session)
{
// Sing out
FormsAuthentication.SignOut();
// Remove from Session
application.Session.Clear();
application.Session.Abandon();
application.Context.Response.Cookies["ASP.NET_SessionId"].Value = "";
// Redirect
FormsAuthentication.RedirectToLoginPage();
}
}
}
}
}
public void Dispose() { }
#endregion
}
}

Quando o usuário se logar, adicione o seguinte código ao evento LoggedIn do controle Login:

Code Snippet

void Login1_LoggedIn(object sender, EventArgs e)
{
if (HttpContext.Current.Session != null)
{
string sessionID = Session.SessionID;
string userName = Encoder.HtmlEncode(Login1.UserName);
DateTime dateStarted = DateTime.Now;
Session["userName"] = userName;
// Get the Application Context variable
var ASPNETContext = (SortedDictionary<string, SessionContext>)Application["sessionSortedList"];
// Create a new SessionContext variable
var sContext = new SessionContext() { SessionID = sessionID, UserName = userName };
// Refresh the object to the Application
if (ASPNETContext != null)
{
ASPNETContext[userName] = sContext;
Application["sessionSortedList"] = ASPNETContext;
}
}
}

Quando o usuário fizer o logout, adicione o seguinte código ao evento LoggingOut do controle LoginStatus:

Code Snippet

void LoginStats_LoggingOut(object sender, LoginCancelEventArgs e)
{
string userName = (string)Session["userName"];
userName = userName ?? string.Empty;
// Get the Application Context variable
var ASPNETContext = (SortedDictionary<string, SessionContext>)Application["sessionSortedList"];
//Try to get the current list
SessionContext currentSessionContext = null;
if (ASPNETContext != null)
{
ASPNETContext.TryGetValue(userName, out currentSessionContext);
// Refresh the object to the Application
if (currentSessionContext != null)
{
ASPNETContext.Remove(userName);
Application["sessionSortedList"] = ASPNETContext;
}
}
FormsAuthentication.SignOut();
Session.Clear();
Session.Abandon();
HttpContext.Current.Response.Cookies["ASP.NET_SessionId"].Value = "";
}

Outra tarefa necessária para o módulo funcionar é sua adição ao web.config.

Se você utilizar IIS7 em modo clássico (classic mode) ou utilizar versões anteriores do IIS:

Code Snippet

<system.web>
<httpModules>
<add name="SessionManagerModule" type="Core.SessionManagerModule, Core, Version=1.0.0.0, Culture=neutral, PublicKeyToken=TYPEYOURKEYHERE" />
</httpModules>
</system.web>

Se você utilizar IIS7 em modo integrado (integrated mode):

Code Snippet

<system.web>
<httpModules>
<add name="SessionManagerModule" type="Core.SessionManagerModule, Core, Version=1.0.0.0, Culture=neutral, PublicKeyToken=TYPEYOURKEYHERE" />
</httpModules>
</system.web>
<system.webServer>
<modules runAllManagedModulesForAllRequests="true">
<add name="SessionManagerModule" type="Core.SessionManagerModule, Core, Version=1.0.0.0, Culture=neutral, PublicKeyToken=TYPEYOURKEYHERE" />
</modules>
</system.webServer>