我正在建立一个内部网网站。我仍然不确定如何实施网站的安全性。我正在使用ASP.NET MVC 3。
公司中的任何人都可以访问该网站。这是一个识别系统,您可以在其中提名员工获奖。目前我没有使用任何类型的身份验证。我有一个角色表,其中包含角色和一个关联表,指定哪个用户包含哪些角色,这些角色主要是管理员类型的角色。如果用户确实属于这些角色,那么他/她仍然可以访问网站的各个部分。
我需要使用内置会员资格吗?或者我需要为此创建自定义成员资格吗?我们不使用登录页面。如果用户没有角色来访问视图,那么他/她将被重定向到另一个页面。
我们使用IIS进行身份验证。这与Windows身份验证相同吗?我有用于授权的角色表。
此刻我只是有点困惑,我希望有人能给我一些更清晰的信息。
答案 0 :(得分:1)
答案 1 :(得分:1)
Scott Guthrie撰写的这篇博文可能有所帮助:
Recipe: Enabling Windows Authentication within an Intranet ASP.NET Web application
对于Intranet Web应用程序,最常用的身份验证方案称为Windows身份验证。 Windows身份验证避免了在应用程序中创建登录表单的需要,并且不要求最终用户手动输入其用户名/密码凭据以登录到应用程序。相反,ASP.NET和IIS可以自动检索和验证以安全方式访问站点的最终用户的Windows用户名