我应该为公共站点扩展 ASP.NET 安全性吗？

Question

我有一个 ASP.NET MVC 站点，其中包含一个受 ASP.NET SQL 支持的授权保护的私有站点管理应用程序。我需要添加公共站点的登录名，以允许访问者注册帐户。

我认为我应该为公共站点创建完全独立的存储，而不是扩展现有的用户数据库并依靠角色将公共用户排除在后台之外。有什么理由不这样做呢？

Answer 1

是的，有。您可以将私有数据库与公共数据库隔离。创建 2 个数据库用户帐户，确保他们只能访问所需的 1 个数据库。公共和私人应用程序将使用不同的帐户。然后锁定数据库帐户，以确保它们仅拥有 Web 应用程序运行所需的权限。 （我不确定你正在使用什么数据库。如果你使用的是 ms-sql，请确保他们无权访问 xp_cmdshell，如果你使用的是 mysql，请确保该帐户没有 FILE 权限。还有其他注意事项但这超出了本问题的范围。）

如果在您站点的公共部分发现 SQL 注入漏洞，那么他们将能够访问该数据库，而使您的私有站点不受攻击的影响。

Answer 2

时间和潜在的金钱可能是原因之一。不然的话，如果你有时间的话。根据需要，在不确切了解当前问题的情况下，它也可能会增加很多复杂性......

HTH。

Answer 3

您是否会拥有一位具有多个角色的用户？您最终会将同一用户存储在多个数据库中吗？如果是这样，我会将您的用户保留在统一的数据库中。