我想知道是否可以使用开箱即用的aspnet会员提供商,帐户控制器,数据库架构等(ootb登录/注册系统作为一个整体)面向公众网站是否可以?
是否存在任何漏洞,或者只是因为有很多不需要的东西会让用户感到厌烦?
答案 0 :(得分:0)
在我的上一个项目中,我放弃了会员资格,转而采用基于WIF的解决方案。在身份验证时,我编写包含用户身份的encripted会话cookie,然后使用SessionAuthenticationModule从cookie设置主体。像魅力一样工作,我完全控制数据库和用户存储。而且它还允许一些复杂的东西,如ActsAs,Federation等 如果它是公共站点,也许你会添加一些自动注册的OAuth东西。使用您自己的存储架构会更清晰。会员资格也决定了RBAC类型的授权。 Personaly,没有看到只用简单的IsInRole就可以的项目。
这只是IMHO =)另请注意,.Net 4.5将在核心中包含WIF ..