是否有理由编写自己的身份验证而不是使用 Forms Security

Question

在 ASP.Net 中，是否有理由直接进行自己的身份验证而不是使用 Forms Security（并编写自定义提供程序）？

Forms Security 存在哪些限制以及为什么有人想要编写自己的身份验证？

Answer 1

开箱即用的提供程序的限制之一是 ProfileProvider。它将用户的所有个人资料信息存储在单个数据库字段中，因此很难直接查询。

幸运的是，Scott Guthrie 的博客中描述了一个很好的基于表的提供程序：
http://weblogs.asp.net/scottgu/archive/ 2006/01/10/435038.aspx

但一般来说，我会使用标准的会员提供程序和控件。它们经过了良好的测试，并且节省了大量的编码。

除此之外，对所有 Id 使用 Guid 让我很恼火，因为我更喜欢整数。我知道，Guids 不仅限于数十亿用户，但我的网站还没有那么多人注册。

Answer 2

我广泛使用了 ASP.NET Membership，并用 .NET 编写了多个网站安全方案。

我不知道 .NET 会员资格中存在任何重大安全漏洞。存在一些不同的问题，例如将登录凭据存储在数据库中，但对于大多数目的，您可以配置成员资格选项，因此相对安全。您可以添加密码盐、最小/最大传递长度、复杂性选项、传递尝试等。在一些较大的公司中，他们更喜欢使用 ActiveDirectory 或 Kerberos 身份验证，因为帐户可以由域或区域管理员控制。 .NET 成员资格确实支持这些身份验证方法。

我在使用它时遇到的最大问题是：

1. API 本身并没有真正抽象到它需要的级别（以及功能）。如果您需要以编程方式删除用户或重置密码，虽然完全有可能，但如果您不使用 .NET 登录/帐户控件，则工作量会比您预期的要多，而您可能不会这样做，因为它们是适合的面向用户而不是帐户管理。
2. 没有内置的网络服务来访问帐户，这并不总是必要的，但它会很好。
3. 管理帐户是一件很麻烦的事情，因为您必须为其编写自己的控件，而第 1 点使这成为一项繁琐的任务。您可以购买多种第 3 方控件，以使这种情况更容易忍受。
4. 使用子组/子帐户、分层角色等扩展功能可能非常困难且具有挑战性。

不过，与丹尼尔的观点一致，对于大多数用途来说，它工作得很好，并且会为您节省大量工作。它已经过测试，有大量的选项，而且运行良好。

Answer 3

编写自己的登录控件长期以来一直是灾难的根源。事实上，我认为它连续几年被标记为 OWASP 十大（安全）问题。