密码保护资源| ASP.NET MVC

Question

我正在开发一个ASP.NET MVC应用程序，我有一些想要密码保护的视图。不是用户名/密码形式的auth类型的方式。当用户尝试转到其中一个受保护的页面时，我希望他们必须输入密码。我提出了一种方法来做到这一点，我只想得到一些验证，这是一个很好的方法。

当用户访问受保护页面时，我正在检查存储在Session中的词典，如果页面的ID在那里并标记为未锁定，则他们可以查看该页面。如果不是，将被定向到解锁页面，他们将必须输入密码。一旦他们输入有效密码，它将更新字典，他们将能够查看该页面。

这是一种有效的方法还是有人有更好的想法。

由于

Answer 1

这基本上听起来像标准用户名/密码表单身份验证，其中用户名在所有用户之间进行硬编码/共享。一些想法：

1. 您是否会为不同的锁定区域设置不同的密码？如果是这样，这听起来像是用户的不同角色。
2. 您不使用基于标准的用户名/密码解决方案（以及可能用于定义解锁区域的角色）的理由是什么？
3. 假设这是一个面向公众的网站，只需要一个密码，你就给黑客一个更容易的目标，因为他们不再需要猜测用户名/密码组合。
4. 您需要任何审计线索吗？对于某个区域内的许多人来说，单个密码可能会使实施起来更加复杂。
5. 维护 - 这不是一个标准的解决方案，所以维护它的人必须弄清楚你做了什么以及为什么。

我确信还有其他一些关键点，但目前还没有其他任何想法。