Php 烘焙ASP.NET身份验证模型的替代方案
当我看到开发人员如何在其他web框架中实现登录和“身份验证”时,看起来他们大多数时候只是设置了一个服务器会话,并在允许用户进入之前检查是否设置了该会话。我们甚至在ASP classic中做了这件事,它看起来工作得很好 e、 g RoR: Php: 实现自定义成员资格提供程序对于登录用户来说似乎是一个漫长的过程,并在登录完成后说Session.放弃。坦率地说,我不确定我是否理解不使用会员资格提供商的安全风险,尽管我已经使用了很多年Php 烘焙ASP.NET身份验证模型的替代方案,php,asp.net,ruby-on-rails,asp.net-mvc,asp-classic,Php,Asp.net,Ruby On Rails,Asp.net Mvc,Asp Classic,当我看到开发人员如何在其他web框架中实现登录和“身份验证”时,看起来他们大多数时候只是设置了一个服务器会话,并在允许用户进入之前检查是否设置了该会话。我们甚至在ASP classic中做了这件事,它看起来工作得很好 e、 g RoR: Php: 实现自定义成员资格提供程序对于登录用户来说似乎是一个漫长的过程,并在登录完成后说Session.放弃。坦率地说,我不确定我是否理解不使用会员资格提供商的安全风险,尽管我已经使用了很多年 请考虑一下。表单身份验证不依赖于成员资格提供商。您可以单独使用表单
请考虑一下。表单身份验证不依赖于成员资格提供商。您可以单独使用表单身份验证,这是我过去所做的。下面有一篇文章介绍了如何: 没有什么可以阻止您使用会话变量来跟踪用户。只要遵循基本的安全编码原则,这样做也不会带来任何安全隐患:
您计划如何保护静态内容?会话变量可以用于控制谁有权访问您的经典ASP网页,但它们不会阻止客户端访问非ASP内容。我指的不是内容,而是身份验证。与ASP经典无关。这与不想再使用表单身份验证有关:)是的,我理解。我只是好奇,您打算如何在不使用成员资格提供商(如ASP.NET表单验证)的情况下保护网站内容。会话变量不会阻止人们直接热链接到您的静态内容。@Bond Forms身份验证也不会保护静态内容不被浏览。无论您选择表单身份验证还是会话变量,您仍然需要将静态内容移动到无法浏览的位置(App_数据,根目录之外),然后使用处理程序为其提供服务。您可以在处理程序的ProcessRequest方法中执行身份验证。