Защита приложения ASP.Net с использованием нескольких аппаратных уровней

Question

У меня есть приложение ASP.Net, которое отображает конфиденциальную информацию. Приложению необходимо, чтобы пользователи вошли в систему, прежде чем просматривать главную страницу приложения. Аутентификация осуществляется через веб-сервис.

Это достаточно просто, но аппаратный дизайн многоуровневый. 1) Веб-сервер для входа в систему 2) Сервер приложений для основного приложения 3) База данных

Нужно ли было бы написать отдельное приложение ASP.net на уровне 1, которое обеспечивает безопасность, или приложение могло бы остаться каким-то образом целиком?

Если требуется отдельное приложение, как передать информацию, собранную во время аутентификации, на уровень 2? Я не уверен, что переменные сеанса будут работать, поскольку информация находится на другом сервере?

Связь между Tier 2 и Tier 3 достаточно проста, это просто модель безопасности, на которой я застрял.

Очевидно, что должно быть какое-то обнаружение пакетов, чтобы, когда пользователь делает запрос, уровень 1 должен был его проверить, а если он прошел проверку, передать его на уровень 2. Я не уверен, как это сделать?

Спасибо

Answer 1

Я выбрал веб-сервер, сервер приложений с веб-службой и сервер базы данных. Я также пошел с веб-службой безопасности.

Answer 2

Рекомендую использовать только два уровня - веб и сервер. Это будет намного проще для реализации и менее подвержено ошибкам. Все, что вам нужно, это применить правильные настройки к разделу аутентификации форм.
Используйте SSL. Также рассмотрим некоторые тесты безопасности приложения - SQL-инъекции, управление правами, незаконный доступ к данным (через несанкционированный доступ к данным), XSS и т. Д.
И проверьте этот связанный вопрос , он предоставит вам некоторую полезную информацию.