MVC 3 应用程序的用户/PW 系统

Question

所以我读过很多关于网络应用程序密码系统的文章，它们看起来都非常令人困惑。有人说你需要对你的 PW 进行哈希处理并建立 https 安全连接，其他人则说你只需要对你的 PW 进行哈希处理并加盐。

我只知道，在执行了数百万次之后，可能有某种库可以为我在客户端输入的密码做很多事情，并为我提供一些安全保存在我的 SQL Server 中的内容2008年数据库。

我需要担心所有 https 安全连接的问题吗？我可以确保我正确地散列密码吗？为了散列它，我是否需要任何外部库，或者我可以完全在 .NET 中创建一个安全的用户/密码系统吗？

我以前从未这样做过，所以任何文章、提示、链接都会非常有帮助。谢谢。

Answer 1

如果您不想自己动手，可以随时使用 ASP.Net 会员资格

ASP.NET 成员资格为您提供了一种验证和存储用户凭据的内置方法。因此，ASP.NET 成员身份可帮助您管理网站中的用户身份验证。您可以将 ASP.NET 成员身份与 ASP.NET 表单身份验证结合使用，方法是与 ASP.NET 登录控件结合使用，创建一个完整的用户身份验证系统。

ASP.NET 会员资格支持以下功能：

• 创建新用户和密码。

• 将成员资格信息（用户名、密码和支持数据）存储在 Microsoft SQL Server、Active Directory 或替代数据存储中。

• 对访问您网站的用户进行身份验证。您可以通过编程方式对用户进行身份验证，也可以使用 ASP.NET 登录控件创建一个需要很少代码或不需要代码的完整身份验证系统。

• 管理密码，包括创建、更改和重置密码。根据您选择的会员选项，会员系统还可以提供自动密码重置系统，该系统接受用户提供的问题和回答。

• 公开经过身份验证的用户的唯一标识，您可以在自己的应用程序中使用该标识，并且还可以与 ASP.NET 个性化和角色管理（授权）系统集成。

• 指定自定义成员资格提供程序，它允许您替换自己的代码来管理成员资格并在自定义数据存储中维护成员资格数据

---

配置 ASP.NET 应用程序以使用成员身份

---

github 上还有一个项目，名为 MVC 会员入门工具包

Answer 2

默认的 MVC3 Internet 应用程序模板（文件新项目）已为您提供了此设置，只需将 [Authorize()] 添加到您想要保护的控制器/方法即可。不要推出新的东西，使用现有的东西。此外，请使用 SSL，因为有人可以通过嗅探流量并简单地使用您的 cookie 轻松窃取会话。就是这么简单。