Аутентификация пользователя в ASP.NET с пользовательскими данными, не читаемыми даже администратором или человеком в середине

Question

Представьте, что у вас есть веб-сайт на базе ASP.NET, для которого пользователи должны пройти аутентификацию, чтобы получить доступ. Данные пользователя (такие как имя пользователя, пароль и другая информация, относящаяся к веб-сайту) хранятся в базе данных Microsoft Sql.

Я знаю, что можно написать собственного провайдера членства для создания собственного метода аутентификации.

Однако, как лучше всего

• убедитесь, что имя пользователя и пароль не могут быть перехвачены при прослушивании сетевого трафика между клиентом и сервером
• хранить данные таким образом, чтобы к ним мог получить доступ только сам пользователь, а администратор не мог их увидеть

Если есть какие-то учебники, инструкции, скринкаст или что-то, на что вы можете указать мне или у вас есть даже простое объяснение, это было бы здорово!

Спасибо, Крис.

Answer 1

Для защиты имен пользователей и паролей в сети пользователи должны подключаться через SSL .

Чтобы гарантировать невозможность считывания пароля в базе данных, хэшируйте пароли .

Answer 2

Как уже упоминалось, хешируйте пароли в базе данных, и для защиты от митм атак всегда старайтесь использовать https://