Ресурсы для защиты паролем | ASP.NET MVC

Question

Я работаю над приложением ASP.NET MVC, и у меня есть некоторые представления, которые я хочу защитить паролем. Не в логине / пароле создается аутентичный тип пути. Когда пользователь пытается перейти на одну из этих защищенных страниц, я хочу, чтобы он ввел пароль. Я придумал способ сделать это, я просто хочу получить подтверждение того, что это хороший подход.

Когда пользователь заходит на защищенную страницу, я проверяю словарь, сохраненный в сеансе, если идентификатор страницы находится там и помечен как разблокированный, он может просматривать страницу. Если это не так, будут направлены на страницу разблокировки, где они должны будут ввести пароль. Как только они введут действительный пароль, он обновит словарь и сможет просматривать страницу.

Это правильный подход или у кого-то есть идея получше.

Спасибо

Answer 1

По сути, это звучит как стандартная аутентификация по имени пользователя / паролю, когда имя пользователя жестко закодировано / разделено между всеми пользователями. Некоторые мысли:

1. Будете ли вы иметь разные пароли для разных заблокированных областей? Если это так, это звучит как разные роли для пользователя.
2. Каково ваше мнение о том, что вы не используете основанное на стандартах решение для имени пользователя и пароля (и, возможно, роли, чтобы определить, какие области разблокированы)?
3. Предполагая, что это общедоступный сайт, требуя только того пароля, который вы дали хакеру, гораздо более легкую цель, поскольку им больше не нужно угадывать комбинацию имени пользователя и пароля.
4. Вам нужны какие-либо контрольные записи? Один и тот же пароль для многих людей в регионе делает его потенциально более сложным для реализации.
5. Техническое обслуживание - это не стандартное решение, поэтому кто-то еще, поддерживая его, должен будет выяснить, что вы сделали и почему.

Я уверен, что есть и другие ключевые моменты, но в данный момент больше ничего не приходит в голову.