Desarrollamos un formulario de inicio de sesión con Borland Delphi 6 (válido para otras versiones) y MySQL como motor de base de datos (válido para otros motores). Explicamos en este manual cómo hacer una ventana de validación de usuario usando algunos métodos de seguridad: guardando la contraseña del usuario en MD5 (hash), encriptando la contraseña de acceso a la base de datos, etc. Además, añadiremos la opción de obtener la IP del servidor de MySQL mediante AjpdSoft Aviso cambio IP pública. También mostramos cómo implementar la validación o inicio de sesión en un servidor LDAP (Microsoft Active Directory, dominio Windows u otros compatibles con LDAP).

Diseño del formulario Delphi, componentes necesarios para validación de usuario

En primer lugar añadiremos un formulario a nuestro proyecto Delphi con los siguientes componentes:

  • Puesto que nuestra aplicación permitirá validación de diferentes métodos, añadiremos varios TRadioButton para que el usuario pueda seleccionar el método de validación: aplicación, LDAP, Alfresco, etc. En este ejemplo implementaremos el método LDAP y el método aplicación.
  • TEdit: para introducir el usuario y la contraseña.
  • TButton: para botón «Iniciar», botón «Cancelar» y botón «Opciones».
  • TabSheet: donde coloraremos los datos de acceso a la base de datos y los datos para obtener la dirección IP del servidor de base de datos.

Nota: la opción de «Dirección servidor BD IP» no es necesaria para un formulario de validación. Sirve para obtener la IP pública del servidor de bases de datos cuando ésta es dinámica. Si disponemos de IP estática o fija no será necesario. Esta opción enlaza con la base de datos de la aplicación AjpdSoft Aviso cambio IP pública que deberá estar iniciada en el servidor de MySQL para que obtenga la IP y la guarde en la base de datos.

Diseño del formulario Delphi, componentes necesarios para validación de usuario

En la siguiente descarga incluimos el código fuente completo de este formulario:

Tabla usuarios en la base de datos MySQL para validación de usuario en aplicación Delphi

Tabla de usuarios en MySQL para inicio de sesión, formulario de validación Delphi

Para el inicio de sesión en la aplicación desarrollada en Delphi usaremos una tabla donde guardaremos los datos de los usuarios. A continuación mostramos la consulta SQL de creación de esta tabla con todos los campos para MySQL:

CREATE TABLE usuario (
codigo int(10) unsigned NOT NULL AUTO_INCREMENT,
nick varchar(20) NOT NULL,
contrasena varchar(100),
codigocliente int(10) unsigned,
codigotecnico int(10) unsigned,
codusuarioa int(10) unsigned,
codusuariom int(10) unsigned,
fechaa datetime,
fecham datetime,
administrador char(1),
modificacion char(1),
nombre varchar(100),
fecha datetime,
accesoweb varchar(1),
codigodepartamento int(10) unsigned,
email varchar(200),
PRIMARY KEY (codigo),
UNIQUE KEY usuario_nick (nick)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=latin1

Por supuesto añadiremos todos los campos que necesitemos para los usuarios (DNI, Departamento, etc.), aunque los más importantes para la validación son nick (nombre de usuario) y contrasena (se guardará aquí el hash de la contraseña del usuario, NO la propia contraseña, por seguridad).

Para crear esta tabla en nuestro servidor de MySQL Server podremos usar cualquier aplicación que permita ejecutar sentencias SQL en MySQL Server, como por ejemplo la aplicación gratuita y con código fuente:

Por supuesto, también podremos usar MySQL Administrator o cualquier otro software para ejecutar consultas SQL en MySQL Server.

Tabla MySQL log inicio y cierre de sesión

En nuestro caso, aunque lógicamente no es necesario, usaremos también una tabla para guardar el inicio y cierre de sesión de cada usuario, para guardar un log de los accesos de los usuarios. Crearemos también la siguiente tabla:

CREATE TABLE sesion (
id int(11) NOT NULL AUTO_INCREMENT,
codigousuario int(11),
fecha date,
hora time,
estado varchar(20),
PRIMARY KEY (id)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=latin1

Como se puede observar, en la tabla «sesion» guardaremos el código del usuario que inicia la sesión, la fecha y la hora y el estado (si es inicio de sesión o es cierre de sesión). De esta forma quedará constancia de los accesos de cada usuario a la aplicación.

Tabla MySQL de parámetros de configuración de la aplicación

Crearemos una tercera tabla para guardar los parámetros de configuración de la aplicación:

CREATE TABLE parametro (
codigo int(10) unsigned NOT NULL AUTO_INCREMENT,
nombre varchar(50),
valor varchar(100),
PRIMARY KEY (codigo)
) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=latin1

En dicha tabla guardaremos, por ejemplo, la versión de la aplicación. De forma que si desarrollamos una nueva versión de la aplicación, a los usuarios le aparezca un mensaje de aviso indicando que existe una nueva versión de la aplicación, incluso si es una versión «crítica» podemos obligar a los usuarios a que realicen la actualización. Aquí se puede ver un ejemplo de uso de esta tabla.

Formulario de alta de usuario con cálculo de hash (md5) para guardar la contraseña

Para el formulario de alta de nuevo usuario en nuestra aplicación Delphi, añadiremos los componentes necesarios para los campos de fecha de alta, nick, nombre completo, mail, contraseña, etc. A continuación mostramos un formulario de alta de usuario de ejemplo:

Formulario de alta de usuario con cálculo de hash (md5) para guardar la contraseña

A continuación explicaremos algunas de las opciones más importantes del formulario de alta de usuario:

1. Cuando el usuario o el administrador de la aplicación introduzca la contraseña en el formulario, en la base de datos guardaremos el hash correspondiente a esta contraseña, nunca la contraseña directamente. De esta forma, si se produce un hackeo de nuestra base de datos, si un usuario malintencionado obtiene acceso a nuestra base de datos, al acceder a la tabla de usuarios no verá la contraseña del usuario. Para obtener el hash de la contraseña (que será el valor que guardemos en la base de datos) usaremos el componente gratuito para Delphi: TurboPower LockBox 2.07. Una vez instalado este componente, usaremos la siguiente función para obtener el Hash de la contraseña del usuario:

2. Al pulsar el botón «Aceptar», en el formulario de alta o modificación de usuario, comprobaremos si se ha cambiado la contraseña. Si el usuario ha cambiado la contraseña (una modificación) realizaremos la comprobación y guardaremos el hash en el componente enlazado con la base de datos, para guardarlo en la base de datos:

La seguridad para el inicio de sesión o validación de un usuario en nuestra aplicación con Delphi

Para realizar un formulario seguro de inicio de sesión en nuestras aplicaciones con Delphi, usaremos los siguientes métodos de seguridad:

  • En la tabla de usuario de MySQL no guardaremos directamente la contraseña, sino su hash (md5).
  • Encriptar o cifrar la contraseña y usuario con los que accederemos a la base de datos MySQL, para ello usaremos el esquema de cifrado AES.
  • Guardar log de inicio de sesión de cada usuario, para auditoría de accesos en caso necesario.
  • Usar un usuario y contraseña de MySQL que sólo tenga permisos sobre las tablas de la aplicación, que no sea administrador de MySQL (no usar «root»).

La función para encriptar la contraseña y el nombre de usuario de acceso a la base de datos MySQL:

La función para desencriptar la contraseña y usuario:

En la cláusula «Uses» de la unidad donde coloquemos los procedimientos anteriores necesitaremos añadir:

Para guardar la contraseña en el fichero INI de configuración de la aplicación usaremos:

El procedimiento «esCadINI»:

El procedimiento «esCadINI» requerirá añadir en el Uses de la unidad inifiles:

También necesitaremos declarar la constante claveEncriptacionTexto con el valor de la clave de encriptación, necesaria para encriptar y desencriptar, es recomendable que sea una clave con números, letras, mayúsculas, minúsculas y algún carácter especial:

Y, lógicamente, necesitaremos los ficheros AES.pas y base64.pas que se incluyen en la descarga:

Validar usuario en servidor LDAP con Delphi, implementar inicio de sesión login en LDAP con Delphi

Para permitir la validación en un servidor con el protocolo LDAP (dominio de Microsoft Windows con Active Directory, OpenLDAP, etc.) añadiremos los siguientes ficheros a nuestro proyecto Delphi: Cert.pas, Constant.pas, Events.pas, Gss.pas, LDAPClasses.pas, Misc.pas. Todos estos ficheros se incluyen en la descarga:

Por supuesto, en la descarga anterior también incluimos el formulario de inicio de sesión con el código fuente necesario para validar o autenticar un usuario en un servidor LDAP.

El código que usamos en el formulario de inicio de sesión para la autenticación, validación o login de un usuario en LDAP con Delphi:

La función «autenticarLDAP» la podremos encontrar en el fichero «UnidadProcedimientos.pas», es la siguiente:

Para validar o autenticar un usuario en un servidor con el protocolo LDAP hemos usado la siguiente aplicación de ejemplo del AjpdSoft Validación LDAP y el siguiente paquete de unidades para acceso a LDAP: ADSI (Active Directory Service Interfaces).

Acceso a la tabla de parámetros mediante función Delphi y MySQL

El acceso a la tabla de parámetros de la aplicación, donde guardaremos los valores de configuración, se realizará con una función como la siguiente, donde leeremos el valor del parámetro que necesitemos en cada momento:

Por ejemplo, para obtener la versión de la aplicación y si es distinta no iniciarla, utilizaremos el siguiente código:

De esta forma podremos acceder a cualquier parámetro de la aplicación y éste quedará guardado en la base de datos, por lo que serán parámetros compartidos para todos los usuarios de la aplicación.

Acceso nativo a MySQL Server con Delphi

Para el acceso al servidor de bases de datos MySQL Server con el lenguaje de programación Borland Delphi 6 hemos usado el componente gratuito Zeosdbo 6.5.1. En el siguiente enlace explicamos cómo instalarlo en Delphi 6:

Este componente tiene la ventaja de que accede de forma nativa (sin usar intermediarios como ODBC) al servidor de MySQL Server indicado. Es bastante sencillo de programar, es suficiente con añadir un componente de tipo ZConnection:

Acceso nativo a MySQL Server con Delphi

Estableceremos las propiedades del componente ZConnection por código, obteniendo los datos del servidor de MySQL Server al que nos conectaremos desde el formulario de login:

Añadiremos el resto de componentes Zeosdbo, todos ellos enlazados con el ZConnection anterior mediante la propiedad Connection. Por ejemplo, para ejecutar consultas SQL en nuestro MySQL Server y obtener el resultado usaremos un ZQuery:

Acceso nativo a MySQL Server con Delphi

Un ejemplo de uso del ZQuery:

Podremos consultar y usar el código fuente completo del formulario de inicio de sesión realizando la descarga: