|
Seguridad: Formulario inicio sesión en Delphi y MySQL, validar usuario en LDAP
Desarrollamos un formulario de inicio de sesión con Borland (ahora Codegear) Delphi 6 (válido para otras versiones) y MySQL como motor de base de datos (válido para otros motores). Explicamos en este manual cómo hacer una ventana de validación de usuario usando algunos métodos de seguridad: guardando la contraseña del usuario en MD5 (hash), encriptando la contraseña de acceso a la base de datos, etc. Además, añadiremos la opción de obtener la IP del servidor de MySQL mediante AjpdSoft Aviso cambio IP pública. También mostramos cómo implementar la validación o inicio de sesión en un servidor LDAP (Microsoft Active Directory, dominio Windows u otros compatibles con LDAP).
Diseño del formulario Delphi, componentes necesarios para validación de usuarioEn primer lugar añadiremos un formulario a nuestro proyecto Delphi con los siguientes componentes:
En la siguiente descarga incluimos el código fuente complento de este formulario: Ejemplo de formulario de inicio de sesión para aplicación Delphi y MySQL
Tabla usuarios en la base de datos MySQL para validación de usuario en aplicación DelphiTabla de usuarios en MySQL para inicio de sesión, formulario de validación DelphiPara el inicio de sesión en la aplicación desarrollada en Delphi usaremos una tabla donde guardaremos los datos de los usuarios. A continuación mostramos la consulta SQL de creación de esta tabla con todos los campos para MySQL:
Por supuesto añadiremos todos los campos que necesitemos para los usuarios (DNI, Departamento, etc.), aunque los más importantes para la validación son nick (nombre de usuario) y contrasena (se guardará aquí el hash de la contraseña del usuario, NO la propia contraseña, por seguridad). Para crear esta tabla en nuestro servidor de MySQL Server podremos usar cualquier aplicación que permita ejecutar sentencias SQL en MySQL Server, como por ejemplo la aplicación gratuita y con código fuente: AjpdSoft Administración Bases de Datos Por supuesto, también podremos usar MySQL Administrator o cualquier otro software para ejecutar consultas SQL en MySQL Server. Tabla MySQL log inicio y cierre de sesiónEn nuestro caso, aunque lógicamente no es necesario, usaremos también una tabla para guardar el inicio y cierre de sesión de cada usuario, para guardar un log de los accesos de los usuarios. Crearemos también la siguiente tabla:
Como se puede observar, en la tabla "sesion" guardaremos el código del usuario que inicia la sesión, la fecha y la hora y el estado (si es inicio de sesión o es cierre de sesión). De esta forma quedará constancia de los accesos de cada usuario a la aplicación.
Tabla MySQL de parámetros de configuración de la aplicaciónCrearemos una tercera tabla para guardar los parámetros de configuración de la aplicación:
En dicha tabla guardaremos, por ejemplo, la versión de la aplicación. De forma que si desarrollamos una nueva versión de la aplicación, a los usuarios le aparezca un mensaje de aviso indicando que existe una nueva versión de la aplicación, incluso si es una versión "crítica" podemos obligar a los usuarios a que realicen la actualización. Aquí se puede ver un ejemplo de uso de esta tabla.
Formulario de alta de usuario con cálculo de hash (md5) para guardar la contraseñaPara el formulario de alta de nuevo usuario en nuestra aplicación Delphi, añadiremos los componentes necesarios para los campos de fecha de alta, nick, nombre completo, mail, contraseña, etc. A continuación mostramos un formulario de alta de usuario de ejemplo: El código fuente en Delphi de dicho formulario puede descargarse gratuitamente aquí. A continuación explicaremos algunas de las opciones más importantes del formulario de alta de usuario: 1. Cuando el usuario o el administrador de la aplicación introduzca la contraseña en el formulario, en la base de datos guardaremos el hash correspondiente a esta contraseña, nunca la contraseña directamente. De esta forma, si se produce un hackeo de nuestra base de datos, si un usuario malintencionado obtiene acceso a nuestra base de datos, al acceder a la tabla de usuarios no verá la contraseña del usuario. Para obtener el hash de la contraseña (que será el valor que guardemos en la base de datos) usaremos el componente gratuito para Delphi: TurboPower LockBox 2.07. Una vez instalado este componente, usaremos la siguiente función para obtener el Hash de la contraseña del usuario: function obtenerHash (texto : string) : string; var MD5Digest : TMD5Digest; hashMD5 : TLbMD5; begin hashMD5 := TLbMD5.Create(nil); hashMD5.HashString(texto); hashMD5.GetDigest(MD5Digest); result := BufferToHex(MD5Digest, SizeOf(MD5Digest)); end; 2. Al pulsar el botón "Aceptar", en el formulario de alta o modificación de usuario, comprobaremos si se ha cambiado la contraseña. Si el usuario ha cambiado la contraseña (una modificación) realizaremos la comprobación y guardaremos el hash en el componente enlazado con la base de datos, para guardarlo en la base de datos: //si se ha cambiado la contraseña if contrasenaActual <> txtContrasena1.Text then txtContrasena1.Text := AnsiLowerCase(obtenerHash(txtContrasena1.Text));
La seguridad para el inicio de sesión o validación de un usuario en nuestra aplicación con DelphiPara realizar un formluario seguro de inicio de sesión en nuestras aplicaciones con Delphi, usaremos los siguientes métodos de seguridad:
La función para encriptar la contraseña y el nombre de usuario de acceso a la base de datos MySQL: //encriptar datos function encriptar (Str, Clave : String) : String; var Src: TStringStream; Dst: TMemoryStream; Size: Integer; Key: TAESKey; ExpandedKey: TAESExpandedKey; begin Result:= EmptyStr; Src:= TStringStream.Create(Str); try Dst:= TMemoryStream.Create; try // Preparamos la clave, lo ideal es que tenga 32 caracteres FillChar(Key,Sizeof(Key),#0); if Length(Clave) > Sizeof(Key) then move(PChar(Clave)^,Key,Sizeof(key)) else move(PChar(Clave)^,Key,Length(Clave)); AEsExpandKey(ExpandedKey,Key); // Guardamos el tamaño del texto original Size:= Src.Size; Dst.WriteBuffer(Size,Sizeof(Size)); // Ciframos el texto AESEncryptStreamECB(Src,Dst,ExpandedKey); // Lo codificamos a base64 Result:= BinToStr(Dst.Memory,Dst.Size); finally Dst.Free; end; finally Src.Free; end; end; La función para desencriptar la contraseña y usuario: //desencriptar datos function desencriptar (Str, Clave : String): String; var Src: TMemoryStream; Dst: TStringStream; Size: Integer; Key: TAESKey; ExpandedKey: TAESExpandedKey; begin Result:= EmptyStr; Src:= TMemoryStream.Create; try Dst:= TStringStream.Create(Str); try StrToStream(Str, Src); Src.Position:= 0; FillChar(Key,Sizeof(Key),#0); if Length(Clave) > Sizeof(Key) then move(PChar(Clave)^,Key,Sizeof(key)) else move(PChar(Clave)^,Key,Length(Clave)); AESExpandKey(ExpandedKey,Key); // Leemos el tamaño del texto try Src.ReadBuffer(Size,Sizeof(Size)); AESDecryptStreamECB(Src,Dst,ExpandedKey); Dst.Size:= Size; Result:= Dst.DataString; except Result := ''; end; finally Dst.Free; end; finally Src.Free; end; end; En la cláusula "Uses" de la unidad donde coloquemos los procendimientos anteriores necesitaremos añadir: unit UnidadProcedimientos; interface uses inifiles, sysutils, ShlObj, ActiveX, Windows, ShellCtrls, controls, classes, registry, db, dialogs, forms, variants, IdSMTP, IdMessage, dateutils, shellapi, mapi, LbClass, LbCipher, LbUtils, aes, base64, StrUtils; Para guardar la contraseña en el fichero INI de configuración de la aplicación usaremos: esCadINI('Base de datos', 'Tipo BD MySQL - Usuario', trim(encriptar (txtBDUsuario.Text, claveEncriptacionTexto))); esCadINI('Base de datos', 'Tipo BD MySQL - Contraseña', trim(encriptar (txtBDContrasena.Text, claveEncriptacionTexto))); El procedimiento "esCadINI": //escribe un valor string en un fichero INI procedure esCadINI (clave, cadena : string; valor : String); begin with tinifile.create (changefileext(paramstr(0),'.INI')) do try WriteString (clave, cadena, valor); finally free; end; end; El procedimiento "esCadINI" requerirá añadir en el Uses de la unidad inifiles: unit UnidadProcedimientos; interface uses inifiles, sysutils, ShlObj, ActiveX, Windows, ShellCtrls, controls, classes, registry, db, dialogs, forms, variants, IdSMTP, IdMessage, dateutils, shellapi, mapi, LbClass, LbCipher, LbUtils, aes, base64, StrUtils; También necesitaremos declarar la constante claveEncriptacionTexto con el valor de la clave de encriptación, necesaria para encriptar y desencriptar, es recomendable que sea una clave con números, letras, mayúsculas, minúsculas y algún carácter especial: //para encriptación de contraseñas en AES claveEncriptacionTexto = 'AnJtP1DdSñO2FwT8'; implementation Y, lógicamente, necesitaremos los ficheros AES.pas y base64.pas que se incluyen en la descarga: Ejemplo de formulario de inicio de sesión para aplicación Delphi y MySQL
Validar usuario en servidor LDAP con Delphi, implementar inicio de sesión login en LDAP con DelphiPara permitir la validación en un servidor con el protocolo LDAP (dominio de Microsoft Windows con Active Directory, OpenLDAP, etc.) añadiremos los siguientes ficheros a nuestro proyecto Delphi: Cert.pas, Constant.pas, Events.pas, Gss.pas, LDAPClasses.pas, Misc.pas. Todos estos ficheros se incluyen en la descarga: Ejemplo de formulario de inicio de sesión para aplicación Delphi y MySQL Por supuesto, en la descarga anterior también incluimos el formulario de inicio de sesión con el código fuente necesario para validar o autenticar un usuario en un servidor LDAP. El código que usamos en el formulario de inicio de sesión para la autenticación, validación o login de un usuario en LDAP con Delphi: if opValLDAP.Checked then begin if ((txtValLDAPServidor.Text = '') or (txtValLDAPDominio.Text = '')) then begin continuar := false; MessageDlg('Para la validación con LDAP debe indicar el servidor y el dominio.', mtWarning, [mbok], 0); tabLDAP.Show; end else begin if autenticarLDAP (txtUsuario.Text, txtContrasena.Text, txtValLDAPServidor.Text, txtValLDAPDominio.Text) then begin continuar := True; end else begin continuar := false; MessageDlg('Error de validación LDAP, compruebe que existe el usuario [' + txtUsuario.Text + '] en el servidor LDAP: [' + txtValLDAPServidor.Text + '] del dominio [' + txtValLDAPDominio.Text + '] o que la contraseña es correcta.', mtWarning, [mbok], 0); end; end; end; La función "autenticarLDAP" la podremos encontrar en el fichero "UnidadProcedimientos.pas", es la siguiente:
function autenticarLDAP (usuario : string; contrasena : string; servidor : string; dominio : string) : boolean; var e : array[0..0] of string; //i : integer; begin LDAPSession := TLDAPSession.Create; LDAPEntryList := TLDAPEntryList.create; LDAPSession.Server := servidor; LDAPSession.Base := 'dc=' + servidor + ',dc=' + dominio + ',dc=com'; LDAPSESSION.PagedSearch := TRUE; LDAPSEssion.PageSize := 100; LDAPSession.SSL := false; LDAPSession.DereferenceAliases := 0; LDAPSession.Version := 3; LDAPSEssion.AuthMethod := 0; LDAPSession.User := usuario; LDAPSession.Password := contrasena; LdapSession.ChaseReferrals := true; ldapsession.ReferralHops := 32; LDAPSession.Connect; e[0] := 'cn'; if ldapsession.Connected then Result := true else Result := false; end; Para validar o autenticar un usuario en un servidor con el protocolo LDAP hemos usado la siguiente aplicación de ejemplo del AjpdSoft Validación LDAP y el siguiente paquete de unidades para acceso a LDAP: ADSI (Active Directory Service Interfaces).
Acceso a la tabla de parámetros mediante función Delphi y MySQLEl acceso a la tabla de parámetros de la aplicación, donde guardaremos los valores de configuración, se realizará con una función como la siguiente, donde leeremos el valor del parámetro que necesitemos en cada momento: procedure obtenerValorParametro (nombre : string; var valor1 : string; var valor2 : string); begin md.tc.Close; md.tc.SQL.Clear; md.tc.SQL.Add('SELECT valor, valor2'); md.tc.SQL.Add('FROM ' + vtTablaParametro); md.tc.SQL.Add('WHERE nombre = :pNombre'); md.tc.ParamByName('pNombre').DataType := ftinteger; md.tc.ParamByName('pNombre').AsString := nombre; md.tc.Open; valor1 := md.tc.FieldByName('valor').AsString; valor2 := md.tc.FieldByName('valor2').AsString; md.tc.Close; end; Por ejemplo, para obtener la versión de la aplicación y si es distinta no iniciarla, utilizaremos el siguiente código: //comprobamos la versión de la aplicación obtenerValorParametro('version', valorParametro1, valorParametro2); versionBD := valorParametro1; accesoSiDistinta := valorParametro2; if (versionBD <> vtVersionAplicacion) then begin MessageDlg('La versión actual de su aplicación [' + vtVersionAplicacion + '] es diferente a la de la BD [' + versionBD + ']. ' + chr(13) + chr(13) + 'Le recomendamos que actualice ' + 'su versión de software para evitar incongruencias ' + 'en los datos.', mtInformation, [mbok], 0); if accesoSiDistinta = 'N' then Application.Terminate; end; De esta forma podremos acceder a cualquier parámetro de la aplicación y éste quedará guardado en la base de datos, por lo que serán parámetros compartidos para todos los usuarios de la aplicación.
Acceso nativo a MySQL Server con DelphiPara el acceso al servidor de bases de datos MySQL Server con el lenguaje de programación Borland (ahora Codegear) Delphi 6 hemos usado el componente gratuito Zeosdbo 6.5.1. En el siguiente enlace explicamos cómo instalarlo en Delphi 6: Instalar componente Zeosdbo en Delphi Este componente tiene la ventaja de que accede de forma nativa (sin usar intermediarios como ODBC) al servidor de MySQL Server indicado. Es bastante sencillo de programar, es suficiente con añadir un componente de tipo ZConnection: Estableceremos las propiedades del componente ZConnection por código, obteniendo los datos del servidor de MySQL Server al que nos conectaremos desde el formulario de login: if continuar then begin md.bd.Disconnect; md.bd.Database := txtBDBD.Text; md.bd.User := txtBDUsuario.Text; md.bd.Password := txtBDContrasena.Text; md.bd.HostName := txtBDServidor.Text; md.bd.Port := strtoint(txtBDPuerto.Text); md.bd.Protocol := txtBDProtocolo.Text; try md.bd.Connect; ...... Añadiremos el resto de componentes Zeosdbo, todos ellos enlazados con el ZConnection anterior mediante la propiedad Connection. Por ejemplo, para ejecutar consultas SQL en nuestro MySQL Server y obtener el resultado usaremos un ZQuery: Un ejemplo de uso del ZQuery: vtUsuario := txtBDUsuario.Text; md.tc.Close; md.tc.SQL.Clear; md.tc.SQL.Add('SELECT codigo, contrasena, nombre, modificacion, '); md.tc.SQL.Add(' administrador, tipo'); md.tc.SQL.Add('FROM usuario'); md.tc.SQL.Add('WHERE upper(nick) = :pNick and activo = "S"'); md.tc.ParamByName('pNick').DataType := ftString; md.tc.ParamByName('pNick').Value := ansiuppercase(txtUsuario.Text); md.tc.Open; if md.tc.RecordCount > 0 then begin vtcontrasenaUsuario := md.tc.FieldByName('contrasena').AsString; if opValGISAM.Checked then Podremos consultar y usar el código fuente completo del formulario de inicio de sesión realizando la descarga: Ejemplo de formulario de inicio de sesión para aplicación Delphi y MySQL Artículos relacionados
CréditosArtículo realizado íntegramente por Alonsojpd miembro fundador del proyecto AjpdSoft. Anuncios
Enviado el Domingo, 20 febrero a las 22:02:47 por ajpdsoft
|
|