Система пользователя / PW для приложения MVC 3

Question

Итак, я прочитал множество статей о системе паролей для веб-приложения, и все они кажутся очень запутанными.Некоторые говорят, что вам нужно хэшировать ваши PW и устанавливать безопасное соединение https, другие говорят, что вам просто нужно хэшировать и солить ваши PW.

Я просто знаю, что после того, как это было сделано миллионы раз, есть ВЕРОЯТНО какое-тобиблиотеки, которая может сделать для меня кучу вещей для пароля, введенного на стороне клиента, и дать мне что-нибудь для безопасного сохранения в моей базе данных SQL Server 2008.

Нужно ли мне беспокоиться обо всехhttps безопасное соединение?Могу ли я просто убедиться, что правильно хэшировал PW?Для хеширования мне нужны какие-нибудь внешние библиотеки или я могу создать защищенную систему user / pw полностью в .NET?

Я никогда не делал этого раньше, поэтому любые статьи, советы, ссылки были бы очень полезны.Спасибо.

Answer 1

Если вы не хотите бросать свои собственные, вы всегда можете использовать Членство в ASP.Net

Членство в ASP.NET предоставляет встроенный способ проверки и сохранения учетных данных пользователя. Таким образом, членство в ASP.NET помогает вам управлять аутентификацией пользователей на ваших веб-сайтах. Вы можете использовать членство в ASP.NET с аутентификацией форм ASP.NET, используя элементы управления входом в ASP.NET, чтобы создать полную систему для аутентификации пользователей.

Членство в ASP.NET поддерживает следующие возможности:

• Создание новых пользователей и паролей.

• Хранение информации о членстве (имена пользователей, пароли и вспомогательные данные) в Microsoft SQL Server, Active Directory или альтернативном хранилище данных.

• Аутентификация пользователей, которые посещают ваш сайт. Вы можете аутентифицировать пользователей программно, или вы можете использовать элементы управления входом ASP.NET, чтобы создать полную систему аутентификации, которая почти не требует кода.

• Управление паролями, включая создание, изменение и сброс их. В зависимости от выбранных вами вариантов членства, система членства также может предоставить систему автоматического сброса пароля, которая принимает пользовательский вопрос и ответ.

• Предоставление уникальной идентификации для аутентифицированных пользователей, которую вы можете использовать в своих собственных приложениях и которая также интегрируется с системами персонализации и управления ролями (авторизации) ASP.NET.

• Указание настраиваемого поставщика членства, который позволяет вам заменять собственный код для управления членством и сохранения данных членства в настраиваемом хранилище данных

---

Настройка приложения ASP.NET для использования членства

---

Есть также проект на github под названием Членский стартовый комплект для MVC

Answer 2

Шаблон интернет-приложения MVC3 по умолчанию (файл-новый проект) уже имеет эту настройку, просто добавьте [Authorize ()] к контроллерам / методам, которые вы хотите защитить.Не катите что-то новое, используйте то, что есть для вас.Кроме того, пожалуйста, используйте SSL, так как кто-то может легко украсть сеанс, отслеживая трафик и просто используя ваш файл cookie.Это так просто.