如何以安全的方式

Question

这可以被认为是一个重复的问题，在创建ASP.NET MVC应用程序的角色和超级用户，为a similar one已经问过，但我不喜欢任何的答案，而安全是不解决。

在部署ASP.NET MVC应用程序，什么是创建角色的正确方法，并没有风险超级用户？

两种方法来我的脑海：使用Application_Start或自定义操作（更好，如果有一个不明显的名称，而不是链接）。

无论如何，第一个用户的密码呢？

我见过大量的网络应用程序，很高兴让第一个人访问它们成为超级用户;当你把这样一个应用程序在线，你只能祈祷成为第一个连接。

什么是最安全的设置密码的方式？

• 它在应用程序中的硬编码？

• 它随机生成，然后邮寄到某个地方？

• 让它随机生成，然后保存在文件系统的某个地方？

• 它是从文件系统中的文件取得的吗？

• 更好，我无法弄清楚？

Answer 1

这个我见过的最好的解决办法是允许通过一些安装位创建一个超级用户，然后要求用户要运行的应用程序中删除或禁用的安装位。 Subtext以这种方式工作，就像Wordpress一样（至少是我上次安装它的时间，可能早在90年代）。

Answer 2

我使用ASP.NET成员资格提供程序和SQL数据库。

部署后，我有一个我创建用户的脚本。

这意味着我的网站不是“准备就绪”，直到我运行脚本，但我没有问题。

善良，

丹

Answer 3

假设应用程序的管理员不希望运行上传必须在它之前设定，你可以在你的web.config配置安装密码预配置数据库已上传。然后在您的安装页面中提示输入此密码和管理员凭据。显然你的安装页面会检查一个空白的安装密码并拒绝继续。

然后，您可以添加哪些检查，如果应用程序已完成安装过程了一个HTTP处理程序，拒绝服务比与安装，直到安装完成的那些以外的任何页面。