在AspNet MVC環境開發過程中禁用安全性

Question

我正在尋找圍繞開發過程中web應用程序的安全配置管理的最佳實踐。我有兩種情況。

1. 我有一堆從數據庫返回一些數據的函數（比如REST APIs）。在生產中，呼叫客戶必須認證自己對AspNetMembership提供商的說法。
2. 還有另外一組函數，其中需要驗證的主體信息來獲取數據。

在開發過程中，開發人員需要在IIS中設置安全性和https來實現此目的。在Asp.Net或其他編程語言中是否遵循最佳實踐來禁用開發過程中的安全性，以便開發人員無需在託管應用程序的本地IIS服務器（而不是Cassini）中設置安全性，也不需要在標題中提供憑據調試。

Answer 1

最佳實踐將不會禁用安全性。如果您使用表單身份驗證，則不需要在IIS中設置安全性，只需在應用程序中設置安全性，並且Visual Studio可輕鬆添加開發證書以啓用HTTPS。

最後一個最佳實踐：使用ASP.NET身份，而不是AspNetMembership用於身份提供商。 AspNetMembership在這一點上是遺留問題，並沒有遵循現代安全最佳實踐。