asp.net登录页问题
问:asp.net登录页问题,.net,asp.net,login,security,.net,Asp.net,Login,Security,问: 登录页面是任何网站的起点,也是验证用户身份最重要的东西 当我开始构建任何web应用程序时,我会花很多时间考虑如何设计一个界面灵活、安全的登录页面 我的问题是: 当我开始构建这个特殊页面时,是否有一些常见的建议、技巧和必须做的事情列表需要考虑:尤其是 安全问题)?最佳实践。 我想要一般的建议,因为我的DBMS应该是informix或mysql或sqlserver 登录页面应通过HTTPS提供服务,并将登录凭据发布到服务器上的HTTPS操作。最好使用 同时选中此项您可以使用VS附带的登录控
登录页面
是任何网站的起点,也是验证用户身份最重要的东西
当我开始构建任何web应用程序时,我会花很多时间考虑如何设计一个界面灵活、安全的登录页面
我的问题是:
- 当我开始构建这个特殊页面时,是否有一些常见的建议、技巧和必须做的事情列表需要考虑:尤其是
安全问题)?最佳实践。
我想要一般的建议,因为我的DBMS应该是
或informix
或mysql
sqlserver
同时选中此项您可以使用VS附带的
登录
控件
这里有一些链接可以帮助您开始
考虑在用户名和密码字段中使用非标准(但被广泛采用)的
自动完成属性,以提高安全性
顺便问一下,这纯粹是关于您正在寻找的界面的提示,还是您也对服务器端问题感兴趣,例如密码加密的使用、SALT等?很多关于身份验证的建议(包括登录页面):
不要构建自己的身份验证方案,请使用内置的成员资格提供程序
将会话超时减少到最低限度(考虑可用性)
禁用滑动到期(再次考虑可用性方面)
通过HTTPS加载登录页面和所有后续页面
确保Cookie设置为需要HTTPS
禁用无cookieless身份验证
不要在角色管理器cookie中使用自由路径
为最小密码强度设置强标准
确保登录表单上的“自动完成”处于关闭状态
这本书中有更多的细节和进一步的想法。还可以尝试将您的web.config传递给
以无法检索的方式(单向cifer)加密密码,当用户输入其用户名和密码并单击“登录”时,获取其输入的密码并进行cifer,并将其与保存的密码进行比较
使用存储过程,不要使用内联数据库查询连接,这样就不会面临sql注入
使用HTTPS
不,不仅仅是一个设计问题,我问的是更安全的登录页面,不能被黑客入侵:)我希望我得到更详细的答案有很多要点。