вопрос страницы входа asp.net

Question

Q:

login page - это отправная точка любого веб-сайта и самая важная вещь для аутентификации пользователя.

Когда я начинаю создавать любое веб-приложение, я много думаю о том, как создать страницу входа с гибким и безопасным интерфейсом.

Мой вопрос:

---

• Есть ли какие-либо общие советы, советы, список, который необходимо учитывать, когда я начинаю создавать эту специальную страницу: особенно ( вопросы безопасности) передовая практика. я хочу общие советы, потому что моя СУБД может быть informix или mysql или sql server.

Answer 1

Лучше всего использовать Серия учебных пособий и ролей по ASP.NET 2.0

и проверьте это также http://www.asp.net/security/tutorials

Answer 2

1. Зашифруйте пароль способом, который не может быть получен, который является односторонним способом, и когда пользователь вводит свое имя пользователя и пароль и нажимает логин, берет свой введенный пароль и шифрует его и сравнивает его с сохраненнымпароль.

2. Используйте хранимые процедуры и не используйте конкатенацию запросов встроенной базы данных, чтобы не столкнуться с SQL-инъекцией.

3. ИспользованиеHTTPS

Answer 3

Много предложений по аутентификации в целом (включая страницу входа в систему):

1. Не создавайте собственную схему аутентификации, используйте встроенный поставщик членства
2. Сократите время ожидания сеансадо минимума (учитывайте юзабилити)
3. Отключите скользящее истечение срока (снова рассмотрите аспект юзабилити)
4. Загрузите страницу входа и все последующие страницы через HTTPS
5. Убедитесь, что кукинастроены на использование HTTPS
6. Отключить проверку подлинности без файлов cookie
7. Не использовать либеральный путь в cookie менеджера ролей
8. Установить строгие критерии для минимальной надежности пароля
9. Убедитесь, что автозаполнение отключено в форме входа в систему

Более подробная информация и дополнительные идеи приведены в OWASP Top 10 для разработчиков .NET, часть 3. Сломанная аутентификация и управление сеансами ,Также попробуйте передать ваш web.config через WCSA .

Answer 4

Страница входа должна обслуживаться через HTTPS и размещение учетных данных для входа в действие HTTPS на сервере.

Answer 5

Подумайте об использовании нестандартного (но широко распространенного) атрибута autocomplete в ваших полях имени пользователя и пароля для дополнительной безопасности.

Кстати, это просто советы по поводу интерфейса, который вы ищетеили вас интересуют проблемы на стороне сервера, например, использование шифрования пароля, соли и т. д.

Answer 6

Вы можете использовать Login элемент управления, который поставляется с VS.

Вот несколько ссылок, с которых можно начать.

Ссылка 1 Ссылка 2