它们在安全性方面是否足以在公共场所使用?或者所以我需要进行修改?
zsharp
问问题
341 次
2 回答
3
这实际上取决于您制作的网站类型,但我可能不会按原样部署 AccountController。它是演示使用 MembershipProvider 的机制的示例代码。
例如,需要考虑的一些事项:
- 您可以在注册中包含验证码
- 默认模板实际上并不使用 [Authorize] 属性保护任何内容。如果您需要登录,您可能希望拥有需要授权的控制器和操作。
ETC...
始终对自己网站的安全负责。我会做一个威胁模型并弄清楚您的网站需要有多安全。例如,某些站点需要使用 RSA 密钥卡之类的双重身份验证。这不包含在默认模板中。我认为大多数网站不需要那个级别。;) 重点是,这取决于您的具体需求。希望有帮助!
于 2009-02-07T05:44:10.600 回答
1
您是在询问成员资格和角色提供者还是骨架控制器操作和视图?成员资格和角色提供者当然支持密码的安全存储,并允许您充分保护您的应用程序。我发现它们对于我所做的事情有点矫枉过正,所以我选择实现我自己的。就控制器操作而言,它们只是骨架,您应该期望修改它们以适应您的身份验证场景。一方面,您可能希望设置在传输密码时需要安全连接。如果您选择之后重定向到非安全连接,则需要手动操作重定向 url,因为默认路由不支持(或至少在 MVC Beta 中不支持)从安全更改回非安全协议。
最重要的是,无论您使用的是 MVC 还是 WebForms,您仍然需要确保安全地处理数据。控制器的布局和基本设置是一个充分的开始,但您需要确保它符合您的安全要求。
于 2009-02-07T04:17:12.007 回答