c# – 这个ASP.Net身份验证模型的安全性如何?
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了c# – 这个ASP.Net身份验证模型的安全性如何?,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含2158字,纯文字阅读大概需要4分钟。
内容图文
![c# – 这个ASP.Net身份验证模型的安全性如何?](/upload/InfoBanner/zyjiaocheng/762/e70f9fd3a21e41908f9d19baa571e23b.jpg)
我使用c#& amp;创建了一个Web身份验证应用程序. asp.net并想要反弹你认为它的安全性.所有导航均由https完成.
用户注册
>用户输入3个数据点(SSN,Lname和DOB).如果在我们的系统中找到该组合,则会设置会话变量并导航到下一页.
>如果设置了#1的会话变量,请继续并询问用户名,密码,安全q& A等.使用Linq保存数据并在实际保存事件之前验证会话变量.使用salt和sha对PWD和安全性答案进行哈希处理. (使用验证控件和文本框限制来限制输入)
重设密码
>与注册中的#1相同,但包括用户名.如果确定,请设置第1步会话变量.
>如果设置了第1步会话变量,请提出最高3倍的安全问题. Salt / hash并验证数据库salt / hash.如果匹配,则设置步骤2会话变量.(使用验证控件和文本框限制来限制输入)
>检查第2步会话变量.请求新的密码.哈希/盐并使用LINQ保存.
登录(使用验证控件和文本框限制来限制输入)
>收集用户名和密码.与用户名匹配的HASH / salt密码,查看密码是否与hash匹配.如果没问题,请设置用户对象并传递到默认页面.
>所有页面都从masterpage继承. Masterpage具有验证用户对象是否设置为有效实例的代码.如果没有有效的用户对象,则调用注销,重定向到主登录页面.
有点罗嗦,但想要清楚.
我在这里错过了什么吗?我想使用MS的表单auth,但决定自己滚动,因为我有一些问题,我想用FBA完成一些自定义的东西.通过使用会话变量作为步骤完成标记,这是否足以防止会话窃取或书签?有一个更好的方法吗?
请问好吗?
解决方法:
ASP.NET Forms身份验证或使用Membership Provider位的哪些方面不符合您的需求?我发现在很多不同的场景中都非常灵活?
滚动你自己通常会在未来使生活变得艰难,特别是当你需要开始做出改变时.您还可以使用母版页来验证用户登录状态等,但是当您需要更多母版页时,您需要在每个母版页中复制相同的代码块并使其保持一致.然后,这可能成为未来某个地方的维护噩梦.
如果您没有在框架中使用现成的烘焙认证工具,那么您应该在其他地方管理这种事情,例如在HttpModule中.
我想你应该重温你正在做的事情.如果需要从用户对象挂起用户特定的数据/对象,请查看实现自己的自定义IIdentity对象.然后分配给自定义IPrincipal,您可以将其附加到ASP.NET中的Context.User.
@ asp316和@Jack(评论)我建议抓住这两本书:
Developing More-Secure Microsoft? ASP.NET 2.0 Applications by Dominick Baier
Professional ASP.NET 2.0 Security, Membership, and Role Management 作者:Stefan Schackow
您会惊讶于.NET内置的安全基础架构的灵活性.除了添加< authentication mode =“Forms”>之外,还有很多内容.设置为web.config并打一个< asp:login runat =“server”/>控制页面.
内容总结
以上是互联网集市为您收集整理的c# – 这个ASP.Net身份验证模型的安全性如何?全部内容,希望文章能够帮你解决c# – 这个ASP.Net身份验证模型的安全性如何?所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。