内置ASP.NET身份验证模型的替代方法

时间:2014-03-20 15:59:55

标签: php asp.net ruby-on-rails asp.net-mvc asp-classic

当我看到devs如何在其他Web框架中实现登录和“身份验证”时,看起来他们大多数时候只是设置服务器会话并在他们让人们进入之前检查是否已设置。我们甚至做过这在今天的ASP经典版本中,它似乎工作正常。

e.g RoR:http://www.codeproject.com/Articles/575551/User-Authentication-in-Ruby-on-Rails Php:http://www.wikihow.com/Create-a-Secure-Login-Script-in-PHP-and-MySQL

实现自定义成员资格提供程序对于登录用户来说似乎还有很长的路要走,并且在完成后会说Session.Abandon。坦率地说,我不确定我是否理解不使用会员提供商的安全风险,即使我有多年。

请一些想法。

1 个答案:

答案 0 :(得分:1)

表单身份验证不依赖于成员资格提供程序。您可以单独使用表单身份验证,这是我过去所做的。这是一篇描述如何:How to: Implement Simple Forms Authentication

的文章

没有什么可以阻止您使用Session变量来跟踪用户。只要遵循基本的安全编码原则,这样做也没有安全隐患:

  1. 绝不信任用户输入
  2. 始终在数据访问中使用参数/存储过程
  3. 加密/散列您存储的所有密码。