Когда вы разрабатываете веб-приложение (ASP.NET/MVC), когда вы добавляете свою безопасность?

Question

При разработке веб-приложения, в моем случае, приложения ASP.NET MVC, но этот вопрос не зависит от платформы, когда вы добавляете инфраструктуру для членства, ролей и аутентификации?

Я на самом деле сделал это обоими способами ... 1. Начните разработку приложения с членства / ролей / аутентификации, являющихся одним из первых этапов и 2. Подождите, пока большинство основных функций и требований не будут реализованы, затем добавьте в инфраструктуру членства / ролей / аутентификации.

Есть ли лучшие практики для этого или это личное предпочтение?

Answer 1

Я смешиваю это в зависимости от того, над чем я работаю.

ASP.Net позволяет настолько абстрагировать компоненты безопасности, что я считаю, что реализовать их на самом деле очень просто. Иногда это так просто, как наследовать ваши страницы от пользовательского класса страниц. (Или в случае MVC пользовательский класс контроллера)

Хотя я обнаружил, что гораздо легче отлаживать основные функции, когда мне не нужно беспокоиться о мерах безопасности, мешающих им.

Answer 2

Цитировать из "Professional ASP.NET MVC 1.0" (с которой я, как оказалось, работаю),

Шаблон проекта Visual Studio по умолчанию для ASP.NET MVC автоматически включает проверку подлинности форм когда создаются новые приложения ASP.NET MVC. Также автоматически добавляется предварительно созданная учетная запись внедрение в проект - что позволяет легко интегрировать безопасность в сайт.

По крайней мере, для учебника, это в основном просто случается, и любые явные ссылки, похоже, хорошо подходят к концу - но не так много. Это тот же уровень простоты, что и сеансы PHP, если вы используете его по назначению.

Answer 3

Безопасность является частью предварительной разработки приложений. Вы не можете добавить его позже, за исключением самых тривиальных случаев.

Пример: применение HR. Менеджер по компенсациям может редактировать компенсацию, рекрутер может только просматривать ее. Если вы заранее не знаете об этом различии, вы не будете встраивать его в свой пользовательский интерфейс, и у вас будут проблемы. Да, безопасность в ASP.net в значительной степени настраивается, но в приложении должна быть определенная структура / гранулярность.

Answer 4

Я не очень знаком с ASP.NET, но каждый раз, когда я разрабатываю безопасность веб-приложений, это почти первое, что я кодирую, иначе вы можете что-то упустить в дальнейшей разработке; либо потому, что вы забыли об этом, либо, скорее всего, что-то изменилось во время разработки.