我打算为我的系统创建登录表单。是否更好地使用内置身份验证和角色管理的ASP.NET或创建自己的方式?哪个更方便?我希望允许管理员(一群人)创建用户并为该特定用户分配角色。可能吗..?也许问题很愚蠢,但感谢你的帮助。
答案 0 :(得分:12)
NOT 创建您自己的身份验证系统!
身份验证是其中轻松构建似乎工作的东西之一 - 甚至通过了一套严格的单元测试 - 但实际上是以微妙的方式存在缺陷在你被黑客攻击后的六个月内你不会发现它。
最好的办法是尽可能地利用您选择的平台提供的身份验证功能。如果平台尚未提供适合的内容,请找到适合的现有第三方选项。你想要的是经过实战考验的东西;当发现缺陷时(总有一些)可能是因为别人的系统中断了,而不是你自己的系统,你可以在你的网站出现之前应用供应商补丁修复它真的妥协了。