现成的ASP.net会员供应商和表格似乎不符合PCI标准。有没有人已经为ASP.net实现了一个PCI兼容的成员提供程序?特别是,我在看的要求为8.5节:ASP.Net的PCI兼容成员资格提供程序?
8.5.2:是用户身份通过非人脸对脸的方法取得用户的请求进行密码重置之前验证?
为此,我在考虑一封重置令牌的电子邮件,其有效期不超过X小时。默认提供者只是生成一个随机值并通过电子邮件发送(尽管我们可以启用安全问题/答案来满足此要求)。
8.5.5:90天以上的非活动用户帐户是否已删除或禁用?
默认提供程序不支持此操作。在允许登录尝试继续之前,我们可以绑定OnLoggingIn进行一些检查。
8.5.9:是否至少每90天更换一次密码?
应该能够检查这个OnLoggedIn。如果上次密码日期> 90,则重定向到密码更改表单而不是所需的内容。
8.5.12:个人是否必须提交一个与他或她使用的最后四个密码不同的新密码?
我不相信默认提供商的成员资格表支持这一点。我们可以添加密码历史记录表,并在每次有人创建新密码时粘贴一个条目。这些可以在ChangePassword控件的OnChangingPassword事件中进行检查。
我完全有能力做到这一点,但如果已经有东西在那里,我想利用。
我说你自己。成员并不太复杂。我从来没有使用ASP.Net成员资格,因为它没有我想要的,或者它太复杂来实现它。 – 2012-02-09 02:51:08