[英]Should I extend ASP.NET Security for a public site?
我有一個帶有私有站點管理應用程序的ASP.NET MVC站點,該應用程序受ASP.NET sql支持的授權保護。 我需要為公共站點添加登錄名,以允許訪問者注冊帳戶。
我想我應該為公共站點創建完全獨立的存儲,而不是擴展現有的用戶數據庫,而是依靠角色將公共用戶拒之門外。 有什么理由不這樣做嗎?
就在這里。 您可以將私有數據庫與公共數據庫隔離。 創建2個數據庫用戶帳戶,確保他們只能訪問所需的1個數據庫。 公共和私人應用程序將使用不同的帳戶。 然后鎖定數據庫帳戶,以確保它們僅具有Web應用程序運行所需的權限。 (我不確定您使用的是哪個數據庫。如果使用的是ms-sql,請確保它們無權訪問xp_cmdshell,如果使用的是mysql,請確保該帳戶沒有FILE特權。還有其他注意事項但這不在此問題的范圍內。)
如果在站點的公共部分發現SQL注入漏洞,則他們將能夠訪問該數據庫,而使私有站點不受攻擊影響。
時間和可能的金錢將是原因之一。 否則,如果您有時間。 根據需要,可能不知道眼前的問題,但也會增加很多復雜性...
HTH。
您會擁有一個角色不止一個的用戶嗎? 您能否最終將同一用戶存儲在多個數據庫中? 如果是這樣,我會將您的用戶保留在統一數據庫中。
新網站創建和安全/身份驗證, - 我應該使用ASP.net會員提供商嗎?
[英]New site creation and security/authentication,- should I use ASP.net Membership Provider?
為什么我要在公共站點上使用ASP.NET MVC,在Intranet上使用WebForms?
[英]Why would I use ASP.NET MVC on a public site and WebForms on an Intranet?
具有集成安全性的ASP.NET網站以錯誤用戶身份連接到MSSQL
[英]ASP.NET Site Connecting to MSSQL as Wrong User with Integrated Security
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
