Asp.net Membership.ValidateUser () Может ли он быть более конкретным?

Question

Membership.ValidateUser (имя пользователя, пароль) возвращает логическое значение, указывающее, был ли вход успешным или неудачным.

Как я могу узнать более точно, был ли пароль или имя пользователя недействительным?

Спасибо

Answer 1

Вы можете довольно легко выполнить MembershipProvider.ValidateUser () и затем, если он был недействительным, выполнить поиск пользователя по имени, используя метод MembershipProvider.GetUser (). Если вы нашли кого-то, вы могли бы сказать им, что их пароль неверен, поскольку пользователь существует.

Тем не менее, я не хотел бы давать злоумышленнику простой способ установить действительные имена пользователей в моей системе. YMMV.

Answer 2

Как отмечено выше, раскрытие этой информации пользователю представляет собой довольно большую дыру в безопасности.Если вы все еще не удовлетворены этим, вам нужно написать своего провайдера членства, пожалуйста, обратитесь http://www.codeproject.com/Articles/13032/Custom-MembershipProvider-and-RoleProvider-Impleme для более подробной информации.