我们正在为我们的应用程序实施安全性。项目负责人已经决定他希望我们扮演自己的角色,但作为首席开发人员,当我的时间应该花在实施与业务相关的事情上时,我不想走那条路。
我们的安全要求很简单,没有权限,只有角色。我认为没有任何理由浪费我的时间来实施自定义解决方案。
是否有任何文章或案例研究有人可以指出我可以用作不滚动自己的安全性的理由?
我们正在为我们的应用程序实施安全性。项目负责人已经决定他希望我们扮演自己的角色,但作为首席开发人员,当我的时间应该花在实施与业务相关的事情上时,我不想走那条路。
我们的安全要求很简单,没有权限,只有角色。我认为没有任何理由浪费我的时间来实施自定义解决方案。
是否有任何文章或案例研究有人可以指出我可以用作不滚动自己的安全性的理由?
您始终可以通过从内置类派生来实现“自己的”解决方案。这样,所有配置都将指向您的自定义代码,但它只包含来自标准的派生,而不是所有内容。
正如已经指出的那样,“滚动你自己”的安全性不仅不明智,而且鲁莽。列举即使是很小百分比的安全失败也是不可能的,但如果你需要弹药,请指出这些书中大量的“经验教训”。(顺便说一下,这些都是优秀的网络安全书籍)。这些书中充斥着大量的黑客攻击,这些黑客攻击是由于安全实施者的小疏忽造成的。为什么要重复历史?
坚持默认是风险最低的,而且在 99% 的情况下都是最合适的。为了完整起见(这里是龙!),故事的其余部分:
ASP.NET 表单身份验证被认为已损坏(2012-02-22)
Microsoft 不希望您看到的 ASP.NET Forms 身份验证替代品(2012-08-13)
这对我来说是一件大事: