authentication - ASP.NET 成员资格 : to be or not to be?

Question

我正在考虑如何使用 ASP.NET 和 MVC2 实现授权和身份验证。让我们将其称为用户系统。

我在野外见过三种类型的解决方案:

使用内置的 ASP.NET 成员(member)系统 ( NerdDinner )

自己动手 ( Shrinkr )

为 ASP.NET 成员资格创建一个抽象层 ( Tekpub's mvcstarter kit )

我一直在阅读您的想法，许多人说如果您不注意安全细节，尝试推出自己的“用户系统”甚至可能是危险的。另一方面，解决方案要简单得多。一切可能都存储在一个数据库中，而用户特定的内容则存储在一个用户表中。此解决方案的开销似乎非常低。

使用 ASP.NET 成员资格解决方案允许使用许多开箱即用的功能，但恕我直言，确实令人困惑。您可能需要将成员资格内容存储在其自己的数据库中，并且能够以某种方式将用户实体从您的站点特定数据库链接到 ASP.NET 数据库。

如果您使用的是 ASP.NET 成员资格

您的数据库架构是什么样的？您如何创建与 ASP.NET 成员(member)用户的外部关系(即歌曲 <=> 收藏夹歌曲 (<=> SiteUsers) <=> aspnet_Users)？

你为什么不自己滚？

如果你已经推出了自己的

如果有的话，你使用了什么样的用户系统抽象层？

为什么不使用 ASP.NET 成员(member)资格？

分析这些可能性，我真的瘫痪了。请从这个成员(member)瘫痪的粘性网络中向正确的方向踢我!谢谢你。

Answer 1

内置的成员(member)提供程序已经是安全的，并且非常易于使用。您可以在几个小时内开始使用内置成员(member)资格。或者(取决于您正在构建的应用程序类型)您也可以使用 OpenID checkout 这就是 StackOverflow 使用的。

此外，使用内置的 Membership Provider，创建关系就像使用“唯一标识符”将 aspnet_User 表(我不记得我头顶上的确切名称)与相关表相关联一样简单。

我将我所有的成员(member)“资料”存储在与系统数据库相同的数据库中，它从来没有让我出错。创建成员(member)“东西”也很容易。只需运行 aspnet_regsql.exe针对您希望拥有 asp.net 成员资格的数据库

Here's another SO question沿着同样的路线。