我有个问题。我正在查看新实施的 Simple Membership Provider,它开箱即用地满足了我的需求。然而,我有点担心这个提供商,因为我正在考虑为自己创建一个自定义 Web 应用程序,并想知道使用它的安全优缺点,以及是否有任何最佳实践来构建一个安全的 Web 应用程序。简单会员制安全吗?在安全方面,我是个菜鸟。
问问题
183 次
2 回答
1
我建议不要编写自己的身份验证和会话管理例程。安全性很困难,您的设计或代码中的任何缺陷都可能导致暴露或违规。
我们在几个处理 PHI(受保护的健康信息)的门户网站中使用了 Simple Membership。我们的客户会定期审核我们的开发方法,到目前为止,没有人认为这是一种风险。如果我们开发自己的,他们会举起危险信号。
于 2013-04-26T00:37:29.817 回答
0
您可能可以通过创建一个辅助函数库类来添加您认为现有提供者缺少的功能,或者将现有提供者子类化(我认为它们不是密封/最终的),从而更进一步。
在任何情况下,您的第一步都是列出您想要的功能,检查现有提供程序是否已经这样做(例如,如果您想要 XML 文件提供程序,CodePlex 上存在),如果没有,扩展或编写自己的。如果您自己编写,您会希望确保存在另一层安全性,例如在 Intranet 上,或仅本地访问或其他一些防御层。
于 2013-04-26T01:18:50.000 回答