我正在创建一个我希望用户注册的个人网站。我一直在寻找各种需要采取的安全措施,并对我必须注意的主要事情感到好奇。我决定不使用ASP.NET Forms身份验证,主要是为了自己创建身份验证过程的乐趣。以下是我迄今所做:未使用表单身份验证的身份验证
- 我有我在哪里存储用户的登录信息的MySQL数据库,如自己的密码和盐
在登录时的哈希值,设置等于会话他们的用户名 - 这使我想到了这个问题:这是不使用表单身份验证来跟踪登录用户的最佳方式吗?例如,设置会话想是这样的:
Session["User"] = username;
有没有一种更好的方式去有关跟踪登录的用户?或者这是一种可以接受但仍然安全的处理事物的方式?
你可能会想设定的语境(自定义)校长。 – 2012-07-13 15:10:19
那么你是在重新发明轮子吗?很公平,我也是这样做的。其核心内容“Forms Authentication”实际上非常简单,它存储了经过认证的用户信息的加密烹饪。整个过程,包括存储的信息以及如何存储,都可以定制。使用会话状态本质上是做同样的事情,只有用户信息存储在服务器上。我真的会建议定制'Forms Authentication',而不是从头开始。 – Nathan 2012-07-13 15:38:34
如果你甚至不能自己开始,那么你没有写你自己的认证系统的业务,你会执行它错误的。至少要实现系统内部构建,并弄清楚它是如何工作的。 – 2012-07-13 15:51:35