Asp.net mvc 在AspNet MVC环境中禁用开发期间的安全性

我正在寻找开发过程中web应用程序中安全配置管理的最佳实践。我有两种情况

我有一系列函数，比如RESTAPI，它从数据库返回一些数据。在生产环境中，调用客户端必须对自己进行身份验证，例如针对AspNetMembership提供者进行身份验证。 还有另一组函数，其中在经过身份验证的主体中，获取数据需要信息。

---

在开发过程中，开发人员需要在IIS中设置安全性和https来实现这一点。在Asp.Net或其他编程语言中是否遵循了最佳实践来禁用开发期间的安全性，以便开发人员不必在本地IIS服务器（不是承载应用程序的Cassini）中设置安全性，并且在调试时也不必在标头中提供凭据

最佳做法是不允许禁用安全性。如果您使用的是表单身份验证，则不需要在IIS中设置安全性，只需在应用程序中设置安全性，而VisualStudio可以轻松地让您添加开发证书以启用HTTPS

---

最后一个最佳实践是：使用ASP.NET标识，而不是身份提供商的AspNetMembership。AspNetMembership在这一点上是传统的，不遵循现代安全最佳实践

谢谢你的回复。但我从其他来源听说，在开发期间禁用安全性是一种常见做法，稍后在生产部署时将安全性作为一个方面引入。所以我认为应该有办法做到这一点。