为什么应该使用 ASP.NET 成员身份安全模型？

Question

我目前正在更新我的网站，并且认为如果我要更新我的登录/安全模式，现在是个好时机。

我已经浏览了 ASP.NET 中包含的成员资格模型，但我不相信它除了为其他 .NET 开发人员所熟悉之外还会提供任何好处。

似乎有很多关于它的文档，但很少讨论为什么它值得付出努力。

有人能解释一下吗？

Answer 1

我认为在大型网站上使用会员资格没有什么好处。 这已被宣传为 ASP.Net 身份验证的“最佳”解决方案。 然而，实际上，微软似乎只是试图将旧的会员服务器产品定位为每个人突然都需要的东西。

大约 10 年前，我在 MSFT 从事会员服务器工作。 也是 shop.microsoft.com 的首席开发人员，我可以告诉您，我们在该网站上没有使用任何内部服务器产品 - 不是商务服务器，不是会员服务器。 不知道他们现在是怎么做的——但我认为当时的普遍共识是，这些类型的软件包通常会妨碍我们想做的事情。

它对于较小的站点可能很有用，或者如果您的资源有限......即部门或小公司内部网的数百个用户，而您不想在其中投入太多时间或资源。 我越看越觉得它完全不适合大型定制网站。

我真正不明白的是，几乎每一本 ASP.Net 书籍似乎都将其视为唯一的方法，而不是一种方法。

Answer 2

在阅读完 ASP.NET 会员资格提供程序中的所有存储过程后，我编写了自己的程序。 这并不难，而且最终您拥有更多的控制权。

如果您喜欢 XML 配置、角色的弱类型字符串、默认情况下不安全、目录中散落着随机的 web.config 文件，而不是页面类上干净的标记界面来表示“不需要帐户”、单个数据库的多个数据库命中登录、未从当前 ObjectContext/DataContext 加载的用户对象以及动态更改提供程序的能力（哇哦，谁使用它？！）选择内置的。

如果没有，请构建您自己的，但如果您这样做，请确保存储密码的加密/加盐哈希，并请执行适当的加密 cookie。

[已更新以反映评论中的反馈]

Answer 3

除非您是唯一在该特定站点上工作的人，否则我认为 .NET 开发人员熟悉该站点这一事实是采用内置会员资格路线的一个很好的理由。 其他具有 ASP.NET 经验的开发人员可以跳入该项目并快速了解您网站的身份验证/授权模型。

我们在网站上使用内置的成员资格和角色提供程序模型，它运行得很好...我们必须编写自己的提供程序类，因为我们对数据使用不同的后备存储（我们使用 Microsoft Dynamics CRM），但是这些类非常简单并且有详细的文档。 通过预先完成这些工作，我们现在可以在代码中使用 Membership 和 Roles 类以及页面上的各种与登录相关的服务器控件。

您正在考虑其他选择吗？

Answer 4

我真正讨厌 .Net 附带的 MembershipProvider 的唯一一点是 userid 是 GUID 而不是自动递增的身份。 我知道使用 GUID 有好处，但将其集成到预先存在的系统或模块中可能会很痛苦。

Answer 5

它就在那里，这样您就不必自己动手。

Answer 6

它的价值在于它是一个易于使用的现成的基于角色的安全框架。 如果您已经构建了自己的框架并且迁移并不简单，那么它可能不值得。 但迁移的好处之一是您可以消除大量应用程序代码并用框架代码替换。

Answer 7

如果您想将站点迁移到任何类型的已制作的门户软件 - 例如 Community Server 或 DotNetNuke，使用会员提供商可以轻松迁移。 您甚至可以使用现有数据库而不必实施新数据库。

Answer 8

我认为 ASP.NET 成员资格、角色和配置文件的一个引人注目的功能是它使用提供程序模型。 如果您对它的现状不满意，那么从基类中推出您自己的类并不困难。 如果您查看 codeplex.com，您可能会发现人们编写的十几个或更多自定义提供程序。 几年前我为 SQLite 数据库编写了一个。

Answer 9

会员制路线运作良好，但有一个致命的缺陷，我不会为此责怪微软。

Internet Explorer 是唯一正确处理身份验证缓存的浏览器。

您可以关闭 Firefox 浏览器，打开它，然后恢复上次会话，然后直接返回“安全”网站，而无需登录。Chrome 也有类似的问题，Mac 也有同样的问题。

IE 有一个 javascript 调用可以正确处理此问题： document.execCommand("ClearAuthenticationCache", "false");

它不适用于任何其他浏览器。 如果您使用此功能，则需要强制用户使用 IE。