ASP.NET Логин и безопасность

Question

Я работаю над новым проектом для клиента, где мы будем хранить некоторые важные данные в Интернете.Мне дали старую базу данных доступа, которую я конвертировал в MS SQL, и теперь мне интересно, какой тип логина и безопасности мне следует использовать.не уверен на 100%, стоит ли мне использовать аутентификацию по форме или что-то другое.

Любой совет будет принята с благодарностью.

Answer 1

Если вы собираетесь работать только с внутренним приложением, используя проверку подлинности Windows. Это будет работать "из коробки" и требует только того, чтобы вы использовали:

<authentication mode="Windows"/>

Если вы хотите использовать проверку подлинности с помощью форм, вы можете создать свой собственный механизм хранения и шифрования, который требует некоторой работы. Или добавьте несколько таблиц в базу данных, что позволяет ASP.NET легко предоставлять имя пользователя, пароль и функцию забытого пароля. Это достигается с помощью инструмента командной строки, который добавит необходимые таблицы:

aspnet_regsql.exe

Запустится мастер, который позволит вам настроить функции, которые вы хотите добавить в SQL Server.

Чтобы просто добавить таблицы членства, войдя в SQL под своей учетной записью, используйте:

aspnet_reqsql.exe -S <server> -D <database> -A m -E

Или, если вы хотите подключиться как определенный пользователь, используйте:

aspnet_reqsql.exe -S <server> -D <database> -A m -U <username> -P <password>

Вот ссылка на учебник по , как использовать проверку подлинности с помощью форм с SQL Server в ASP.NET 2.0 . Будучи ASP.NET 2.0, он выглядит устаревшим, но он одинаков в любой версии ASP.NET V2 и выше.

Answer 2

Проверка подлинности с помощью форм подходит для работы с SSL. Microsoft опубликовала статью о преимуществах использования SSL и проверки подлинности с помощью форм.

Помощь в проверке подлинности с помощью безопасных форм с использованием SSL (SSL)

Answer 3

Да, перейдите с Аутентификацией по форме в качестве первой части безопасности.Зачем ?потому что все такого рода логины основаны на cookie, и основная идея очень хорошо реализована с помощью аутентификации по форме.

Теперь вам нужно добавить дополнительную меру для защиты ваших данных, например.

1. Убедитесь, что вы правильно настроили форму Аутентификация - ref: Может ли какой-нибудь хакер украсть куки у пользователя и войти под этим именем на веб-сайте?
2. Сохранить все логиныот пользователя вместе с IP-адресами и другой информацией и создать шаблон, чтобы признать, что что-то идет не так.ref: https://stackoverflow.com/a/9645770/159270
3. Добавить дополнительный пароль безопасности для некоторых критических действий.
4. Добавить и использовать другой уровень безопасности.
5. Кроме формы аутентификации, для администраторов добавьте дополнительныйтест безопасности для входа в систему, тест, который вы можете найти и который должен быть известен только внутри от лиц с высоким разрешением.

Answer 4

Если вы используете это в общедоступном Интернете, то обязательно используйте SSL для шифрования транзакций, связанных с членством. «Стоимость» использования SSL невелика - риск, связанный с пакетами-снифферами и инструментами, подобными Firesheep, может быть очень высоким.

Базовая аутентификация в порядке, но у меня будет соблазн пойти с Аутентификацией форм только потому, что вы можете контролировать регистрацию и вход в систему - руководство для пользователей, CAPTCHA и т. Д. *

Answer 5

Форма аутентификации лучше всего подходит для этого сценария.Обратитесь к следующей ссылке для использования проверки подлинности с помощью ssl.

Защита проверки подлинности с помощью форм в ASP.NET

Дополнительные защищенные сайты с ASP.NET