在生产开始或结束时添加授权

本文关键字:添加 授权 结束 开始 | 更新日期: 2023-09-27 18:21:16

在内部使用ASP.NET/C#网站的生产过程中,从身份验证/授权/登录FIRST开始,并从那里开始构建有什么好处吗?还是最好只是按照你想要的方式构建你的网站,有无限的限制,没有登录或其他任何东西,然后在生产结束时,在发布之前这样做?这就是我想做的——只需在网站的功能上工作,不受限制,少担心一件事。但我想确保这种方法以后不会引起问题。

当需要实现ASP.NET身份验证时,只需要运行脚本来生成必要的表,然后使用WSAT来管理用户,然后对现有内容提供限制。。。应该是…

在生产开始或结束时添加授权

您需要提前考虑安全性。即使你没有开发最终的登录屏幕并在开发过程中限制访问,IMO你也应该确保在进行"上帝模式"开发之前,你可以验证你的用户并限制至少一个屏幕上的访问。包括:

  • 身份验证-Windows、窗体等
  • 授权/访问控制-角色会执行还是需要操作级别检查-例如AzMan
  • 如果您将使用SiteMap,则需要查看安全性调整以隐藏用户无法访问的功能(菜单、面包屑等)
  • 审计——例如对重要数据的更改

尽管该网站是供内部使用的,但用户是不可信任的,您还需要确保自己不受SQL注入、XSS等攻击。

当然是的,这是一种实用的方法。你说,增加安全性不会给现有项目带来任何问题
事实上,当你要保护网站时,在创建用户之前有很多过程。此外,你不应该完全依赖WAT进行用户管理——我认为,最好有自己的界面,因为你在部署后需要它。

您的方法听起来可能更快,但在以下方面存在架构缺陷:

1-缺少与每页/每方法级别调用的安全对齐。

2-不清楚身份验证/授权方面的用例和工作流程。

3-在逐渐开发和添加新功能的同时,完全缺乏基于安全性的测试。

4-缺乏端到端依赖性-如果需要跨层考虑安全性,您将错过模块化依赖性和端到端测试的整个愿景。

总的来说,如果你先这样做,那么你只需要建立一个示例用户/pwd/角色,并将其用于网站的所有安全区域,这将足以持续测试和开发应用程序。

稍后,当您的应用程序准备就绪时;使用大量的用户/pwd和相关的角色是很好的。

希望这能有所帮助。