ASP.Net成员资格和角色管理

正在寻找有关ASP.NET2.0内置成员资格和角色管理的一些反馈

很多人用它吗？ 它的优点和/或缺点是什么？ 我可以为单个用户分配多个角色吗？ .Net应用程序的替代标准是什么

我个人喜欢为角色定义权限或操作。似乎如果我只能将一个角色分配给一个用户，并且我希望角色彼此继承权限，那么使用内置的成员管理器进行管理将是一件非常头疼的事情

如果我有以下角色

出版者 编辑 成员

---

我希望编辑器拥有一些出版商和成员拥有的权限，再加上一些自己的权限。在我的代码中，要确定当前用户是否可以编辑某些内容，比只需要角色拉入一个权限列表，然后检查列表中是否有“编辑文章”更难

内置的成员资格提供程序非常容易使用，而且相当安全。我在不同的项目中使用过它的几个版本。最棒的是，如果它不能完全满足您的需要，您可以随时扩展它。内置标识对象具有角色，它们易于访问、存储和比较

---

如果您使用的是.Net，并且需要一个快速、预打包、合理安全的身份验证源，那么内置的成员资格提供程序就不会出问题。如果你需要更多的安全性，就拿他们给你的东西，让它变得更核心一点。如果您有LDAP存储，那么将现有的成员身份验证与LDAP存储集成起来就相当容易了。

您所说的相当安全是什么意思？在哪些方面可以被认为是不安全的或缺乏的？@qntmfred-最大的不安全是密码哈希和salt以明文形式呈现。这将允许获得成员资格数据库访问权限的攻击者将这些值复制并提取到本地源，并对哈希本身发起字典攻击，直到找到匹配项为止。我不是说它不安全，但这取决于你在保护什么。我不会用它来保护银行应用程序，但对于OP描述的CMS来说，它更合适。