如何以安全的方式

Question

這可以被認爲是一個重複的問題，在創建ASP.NET MVC應用程序的角色和超級用戶，爲a similar one已經問過，但我不喜歡任何的答案，而安全是不解決。

在部署ASP.NET MVC應用程序，什麼是創建角色的正確方法，並沒有風險超級用戶？

兩種方法來我的腦海：使用Application_Start或自定義操作（更好，如果有一個不明顯的名稱，而不是鏈接）。

無論如何，第一個用戶的密碼呢？

我見過大量的網絡應用程序，很高興讓第一個人訪問它們成爲超級用戶;當你把這樣一個應用程序在線，你只能祈禱成爲第一個連接。

什麼是最安全的設置密碼的方式？

• 它在應用程序中的硬編碼？

• 它隨機生成，然後郵寄到某個地方？

• 讓它隨機生成，然後保存在文件系統的某個地方？

• 它是從文件系統中的文件取得的嗎？

• 更好，我無法弄清楚？

Answer 1

這個我見過的最好的解決辦法是允許通過一些安裝位創建一個超級用戶，然後要求用戶要運行的應用程序中刪除或禁用的安裝位。 Subtext以這種方式工作，就像Wordpress一樣（至少是我上次安裝它的時間，可能早在90年代）。

Answer 2

我使用ASP.NET成員資格提供程序和SQL數據庫。

部署後，我有一個我創建用戶的腳本。

這意味着我的網站不是「準備就緒」，直到我運行腳本，但我沒有問題。

善良，

丹

Answer 3

假設應用程序的管理員不希望運行上傳必須在它之前設定，你可以在你的web.config配置安裝密碼預配置數據庫已上傳。然後在您的安裝頁面中提示輸入此密碼和管理員憑據。顯然你的安裝頁面會檢查一個空白的安裝密碼並拒絕繼續。

然後，您可以添加哪些檢查，如果應用程序已完成安裝過程了一個HTTP處理程序，拒絕服務比與安裝，直到安裝完成的那些以外的任何頁面。