网站和Web应用程序有哪些认证选项?

时间:2009-05-30 13:14:09

标签: security web-applications

即使有很多优秀的CMS工具,我也决定在我的网站上推出自己的工具来获得一些实践经验。目前唯一可以解决的问题是如何添加身份验证来保护管理工具。

我是唯一一个将使用管理工具的人,因此我不需要像完整的登录和注册系统那样复杂的东西。但是,我也不想依赖于安全性,并使用随机页面名称来隐藏工具。

我有什么选择?

3 个答案:

答案 0 :(得分:1)

OpenID可能是你最好的选择。

要按照您的建议将其用于一个人,只需检查经过身份验证的用户名即可。是的,这相当于硬编码,但如果我们创建一个只有一个有效登录名的系统,就不需要更复杂的了。

但创造替代方案不应该那么糟糕。您还可以创建一个角色表,并对该表执行查询,以查看当前登录的用户是否为管理员。如果您想在以后变得更加漂亮,可以稍后添加不同的用户和角色。

用户和角色如何进入表格取决于您。

答案 1 :(得分:1)

1)只需使用“WWW-Authenticate:Basic”,请参阅Wikipedia了解相关信息及相关RFC。
2)启用SSL以确保您的明文密码已加密 SSL在Web服务器上非常标准。你甚至可以self-sign你的证书。

答案 2 :(得分:0)

这部分取决于您和您的网络托管服务商将使用的平台。给定平台可能会提供一组比其他选项更容易访问的选项。

例如,在IIS内部运行的ASP.NET提供Forms,Basic和Windows(NTLM)身份验证,以及基于证书的身份验证,可以将客户端证书映射到Windows用户。

您当然可以在ASP.NET应用程序中实现另一个授权架构,而且很多都可以。但恰好有这套开箱即用的身份验证方案,如果这是您的平台,则不必实施。我希望任何其他平台都能如此,包括基于Linux的平台。

在编写自己的内容之前,请务必找出开箱即用的内容以及可以轻松添加的内容。