我正在开发一个基于Web的应用程序,需要存储用户名和密码。代表用户进行二次认证需要帐户信息,因此我不能简单地使用盐等单向散列来存储用户名和密码。
假设我的基本要求无法更改,有关如何处理这些帐户存储的任何建议?使用机器密钥进行Symetric加密?在web.config中使用随机密钥?使用基于SQL的加密?
答案 0 :(得分:4)
为什么不使用内置的MembershipProviders? http://msdn.microsoft.com/en-us/library/yh26yfzy.aspx
答案 1 :(得分:1)
SqlMemebershipProvider拥有您需要的一切。甚至还有.NET附带的内置应用程序,可以为数据库做好准备。
以下是db准备工具的MSDN page
答案 2 :(得分:1)
此处的最佳做法是在您将此信息传递给外部提供商之前不要求此信息。然后只保留外部提供程序的身份验证令牌,这样您只需要在外部资源需要的位置再次请求凭据(如果用户直接访问它)。