Какой подход аутентификации лучше для моего приложения?

Question

мы собираемся создать веб-приложение asp.net, но застряли в точке, когда мы не можем решить, какой метод аутентификации использовать?(Поставщик проверки подлинности Active Directory или поставщик проверки подлинности с помощью форм)

80% приложения будет использоваться внутри компании (все пользователи являются частью активного каталога), а остальные 20 будут использоваться извне.Это приложение будет иметь интенсивные разрешения в зависимости от пользователя (вероятно, уровень управления. Т. Е. Сетка может иметь другой столбец для пользователя A, чем пользователь B на той же странице)

Мне просто интересно, каков наилучший путь

Answer 1

Нет причин, по которым вы не можете использовать LDAP с проверкой подлинности с помощью форм. Я делаю это все время. По сути, я использую LDAP для аутентификации пользователя и захвата любых групп, в которых он находится, которые имеют отношение к моему приложению. Я использую формы для управления файлами cookie и разрешениями для конкретных приложений. Вы можете предоставить альтернативную форму аутентификации по своему желанию, вам просто нужно предоставить приложению способ узнать, когда использовать LDAP или альтернативный метод.

Answer 2

Многие компании очень строго контролируют, кто может управлять своими разрешениями LDAP (и это правильно). В зависимости от того, как часто вам нужно добавлять / удалять / изменять разрешения для пользователей, и сколько бюрократии и боли вам нужно пройти, чтобы внести эти изменения в систему LDAP, это может стать существенным недостатком этого подхода.

Очевидно, это не должно быть вашим единственным решением, но, вероятно, стоит включить его в список плюсов / минусов.

Answer 3

Я бы не использовал LDAP для аутентификации.Это легко реализовать, но ведение журнала менее надежно, поскольку пользователь не может просто выйти из приложения, а это означает, что если кто-то еще включится и начнет вносить изменения, эти изменения будут отслеживаться пользователем, вошедшим в систему на компьютере.Пользователи должны иметь возможность нажать кнопку «Выйти» где-нибудь на странице и покончить с этим.

Вы можете использовать идентификатор Windows с FormsAuth, который, кажется, является удобной средой между двумя подходами.Хорошая вещь в аутентификации Windows заключается в том, что она обеспечивает согласованность с именами пользователей между приложением и доменом, но в некоторых случаях это тоже не очень хорошая вещь.