我正在創建一個我希望用戶註冊的個人網站。我一直在尋找各種需要採取的安全措施,並對我必須注意的主要事情感到好奇。我決定不使用ASP.NET Forms身份驗證,主要是爲了自己創建身份驗證過程的樂趣。以下是我迄今所做:未使用表單身份驗證的身份驗證
- 我有我在哪裏存儲用戶的登錄信息的MySQL數據庫,如自己的密碼和鹽
在登錄時的哈希值,設置等於會話他們的用戶名 - 這使我想到了這個問題:這是不使用表單身份驗證來跟蹤登錄用戶的最佳方式嗎?例如,設置會話想是這樣的:
Session["User"] = username;
有沒有一種更好的方式去有關跟蹤登錄的用戶?或者這是一種可以接受但仍然安全的處理事物的方式?
你可能會想設定的語境(自定義)校長。 – 2012-07-13 15:10:19
那麼你是在重新發明輪子嗎?很公平,我也是這樣做的。其核心內容「Forms Authentication」實際上非常簡單,它存儲了經過認證的用戶信息的加密烹飪。整個過程,包括存儲的信息以及如何存儲,都可以定製。使用會話狀態本質上是做同樣的事情,只有用戶信息存儲在服務器上。我真的會建議定製'Forms Authentication',而不是從頭開始。 – Nathan 2012-07-13 15:38:34
如果你甚至不能自己開始,那麼你沒有寫你自己的認證系統的業務,你會執行它錯誤的。至少要實現系統內部構建,並弄清楚它是如何工作的。 – 2012-07-13 15:51:35