ASP.Net成员资格和角色管理
问题描述:
寻找关于ASP.Net 2.0内置成员资格和角色管理的一些反馈。ASP.Net成员资格和角色管理
有很多人使用它吗? 什么是好的和/或坏的? 我可以将多个角色分配给单个用户吗? .Net应用程序的替代规范是什么?
我个人喜欢为角色定义权限或操作的想法。好像我只能将一个角色分配给一个用户,并且我希望角色能够相互继承权限,那么使用内置成员资格管理器来管理将是一件非常头疼的事情。
如果我有以下作用..
出版商 编辑 会员
,我想编辑器有一定的权限发布和会员必须加上一些它自己的,在我代码这将很难确定当前用户是否可以编辑某些内容,而不是仅仅拥有一个由角色提供的权限列表,而只是检查“编辑文章”是否在列表中。
答
内置的成员资格提供程序非常易于使用,而且相当安全。我在不同的项目中使用了它的几个版本。关于它的伟大之处在于,如果它不能完全做到你需要它做的事情,你可以随时扩展它。内置的Identity对象具有角色,他们很容易访问,存储和比较。
如果您使用的是.Net,并且您需要一个快速的,预先打包的,合理安全的身份验证源,那么对于内置的成员资格提供程序而言,您确实不会出错。如果你需要更多的安全性,只要拿出他们给你的东西,让它变得更加硬核。如果你有一个LDAP存储,那么将现有的成员资格认证与LDAP存储相集成甚至相当容易。
你相当安全的意思是什么?在哪些方面可以被视为不安全或缺乏? – kenwarner 2010-08-12 14:23:17
@qntmfred - 最大的不安全感是密码哈希和salt以明文形式呈现。这将允许攻击者获得对成员资格数据库的访问权限,将这些值复制并提取到本地源,并开始针对散列本身的字典攻击,直至找到匹配。我并不是说这不安全,而是取决于你所保护的内容。我不会用它来保护一个银行应用程序,但对于一个CMS来说,由于OP描述它更适合。 – 2010-08-12 14:51:44