我有一个ASP.NET MVC站点,其中一个私有站点管理应用程序使用ASP.NET sql支持的授权进行保护。我需要为公共网站添加一个登录信息,以允许访问者注册帐户。
我在想我应该为公共站点创建完全独立的存储空间,而不是扩展现有的用户数据库并依靠角色来阻止公共用户离开后台。有没有理由不这样做?
答案 0 :(得分:1)
是的。您可以将私有数据库与公共数据库隔离。创建2个数据库用户帐户,确保他们只能访问他们需要的1个数据库。公共和私人应用将使用不同的帐户。然后锁定数据库帐户以确保它们仅具有Web应用程序运行所需的权限。 (我不确定你使用的数据库。如果你使用的是ms-sql,请确保他们无法访问xp_cmdshell,如果你在mysql下,请确保该帐户没有FILE权限。还有其他注意事项但这超出了这个问题的范围。)
如果在您网站的公共部分中发现SQL注入漏洞,那么他们将能够访问该数据库,从而使您的私有网站不受攻击影响。
答案 1 :(得分:0)
时间和潜在的资金是一个原因。否则,如果你有时间。根据需要,不完全了解手头的问题,它也会增加很多复杂性......
HTH。
答案 2 :(得分:0)
您是否拥有多个角色的用户?你最终可以将同一个用户存储在多个数据库中吗?如果是这样,我会将您的用户保留在统一的数据库中。