我一直在使用asp.net的表单身份验证来限制用户尝试访问网页时。如您所知,在表单身份验证中,您需要编辑web.config文件,以便为访问网页的用户授予权限。
现在我想改变这种设计。我不想应用asp.net的逻辑。我想存储用户角色可以使用我自己设计的表访问数据库中哪些页面的信息。
我想知道asp.net的表单身份验证是否有一些额外的集成安全保护。如果是的话,我也应该应用这些安全要求。但是,如果表单身份验证仅用于简化身份验证的逻辑,那么我自己的设计就足够了。
有什么意见吗?
答案 0 :(得分:1)
您将授权与身份验证混淆 - 身份验证验证用户是他们所说的人,授权就是他们可以做的。
因此,您可能希望实现自定义成员资格提供程序 - 您不必将角色信息存储在web.config中。您可以继续对登录部分使用表单身份验证。