Как обрабатывать аутентификацию / авторизацию в веб-приложении

Question

Я создаю интранет-сайт. И я до сих пор не уверен, как реализовать безопасность сайта. Я использую ASP.NET MVC 3.

Любой в компании может получить доступ к веб-сайту. Это система признания, где вы можете назначить сотрудника на награду. В настоящее время я не использую какой-либо тип аутентификации. У меня есть таблица ролей, которая содержит роли, и таблица ассоциаций, в которой указывается, какие пользователи содержат какие роли, эти роли в основном являются ролями типа администратора. Если пользователь действительно принадлежит к этим ролям, он может получить доступ к различным частям веб-сайта.

Нужно ли для этого использовать встроенное членство? Или мне нужно создать пользовательское членство для этого? Мы не используем страницу входа. Если у пользователя нет ролей для доступа к представлению, он / она перенаправляется на другую страницу.

Мы используем IIS для проверки подлинности. Это так же, как проверка подлинности Windows? У меня есть таблица ролей, используемая для авторизации.

В данный момент я немного растерялся, надеюсь, кто-нибудь может дать мне больше ясности.

Answer 1

Это сообщение в блоге Скотта Гатри может помочь:

Рецепт: Включение аутентификации Windows в веб-приложении ASP.NET для интрасети

Для веб-приложений для интрасети, наиболее распространенный сценарий аутентификации, который используется, называется Windows Authentication.Аутентификация Windows устраняет необходимость создания формы входа в приложение и не требует от конечных пользователей ручного ввода учетных данных имени пользователя / пароля для входа в приложение.Вместо этого ASP.NET и IIS могут автоматически получать и проверять имя пользователя Windows конечного пользователя, посещающего сайт безопасным способом

Answer 2

Вы можете очень хорошо использовать ASP.Net MembershipProvider и RoleProvider для этого

Чтобы узнать, как их использовать, смотрите Видео на asp.net .

.

Вот краткий обзор на MSDN