我需要创建一个单一的登录结构,我的问题是:SSL是必须的吗?确保单一登录到web应用程序
详情: 该应用程序将有一个链接到我的web应用程序。当用户点击该链接时,他们的本地用户名将被传递给我的Web应用程序,此时在映射文件中查找完成。如果地图上存在本地用户名,则该用户已登录。如果没有,则将提示用户输入其网络用户名和密码,并且在进行身份验证时将创建地图中的条目。
我如何确保用户是他们自称的人,而不是Joe Blow从街上用该用户名发送HTTP POST请求?
我是否必须使用SSL(如果是这样,那是什么)?加入盐和加密用户名是否足够?也许锁定它,以便源IP必须在一个控制范围内?
我的web应用程序在IIS 6/7上运行,并使用ASP.NET MVC框架(如果这很重要)。
这似乎可能是在serverfault权限下给我。 – Rushyo 2010-09-10 16:25:12