什么是在 asp.net mvc 3 和 4 网站中为中型到大型网站构建身份验证和授权层的最佳实践让我们说一个政府应用程序,每天点击 10000 次。在大多数情况下,首选方法是什么。
1)从头开始构建一个新层
2)使用会员提供者(可以完全按照我的要求成型吗?)
3)我最近开始了解身份和原则接口
或任何其他方法。
编辑
stackoverflow 使用什么方法?
问问题
958 次
2 回答
0
在为您的应用选择身份验证和授权时有许多注意事项 - 您需要提供更多信息。
身份验证的典型注意事项是:
- 用户是公司 AD 或 LDAP 内联网(Windows、Kerberos)还是互联网用户(会员等)?
- 是否要使用单点登录(例如 OAuth 等)
- 您想使用基于声明的身份吗?
- 您希望用户是“自我管理”(例如忘记我的密码等)还是呼叫中心管理(帮助台)?
经授权
- 基于角色的安全性是否“足够好”(IsUserInRole),或者您是否需要权限/操作级别检查(例如 AzMan)
- 未来角色是否可能发生变化(例如,用户之间的业务流程/任务分配是否会发生变化)
等等
于 2012-08-16T09:43:03.673 回答
0
我认为任何实施都没有严格的最佳实践。对于数据保护等,显然有严格的安全政策要遵循,所以无论你选择什么层都需要遵守这一点。我过去使用过 ASP.Net 的成员资格提供程序,它可以扩展以满足我的所有需求,这篇 codeproject 文章进一步详细介绍了如何创建自定义成员资格和自定义角色提供程序。
于 2012-08-16T09:35:21.713 回答