ロールに基づいて一部のユーザーに強力なパスワードを要求する

Question

私はMVC 3アプリを持っています。主にセキュリティに関する2つのゾーンがあります。最初の1つは、大部分がパブリックアクセスを防止することですが、本当に機密情報ではありません。パスワードの強さは弱いかもしれません。

第2ゾーン（エリア）が制限されています。ユーザーはアクセスを申請する必要があります。ユーザーがアクセス権を取得すると、特定の役割が得られます。したがって、各コントローラメソッドはそのロールに基づいてユーザーを自動化します。

次のログオン時に強力なパスワードに変更して、制限されたコンテンツにアクセスしてからアクセスできるようにします。

例：

ユーザAは、アクセスのために適用されます。 アクセスが許可されます。 のパスワードポリシーは、アクセス権がある間変更されます。彼らは次のログオン時に のパスワードを変更しなければならず、 はその役割を持っている限り弱いパスワードに戻すことができません。

ASP.NETを使用してこれを実装する安全な方法はありますか？

更新

私は実際にクリスが解決策を提案し、それが動作しますが、私は実際にはあまりにもミカの提案したソリューションからいくつかのインスピレーションを得た、パスワード自体の検証を処理するために使用しました。しかし、MembershipProvider.OnValidatingPasswordをオーバーライドすることは、実際にこれを解決する必要のない10以上の抽象メソッドを実装する必要があることを意味します。

私の目の中で、より良い解決策は、Membership.PhidwordPassword EVENTへのフックです。私はこの宿をApp_Startして、イベントハンドラで自分のパスワード検証を実装し、それが私の問題を解決しました。

ただ、これはあまりにも他の誰かのために私の問題とうまくいけばを解決しtoghetherクリス・ソリューションで、私はここにそれを提示あなたと解決策を共有する：

void App_Start() 
    { 
     //To do custom validation on certain passwords set new event handler 
     Membership.ValidatingPassword += Membership_ValidatingPassword; 
    } 

private void Membership_ValidatingPassword(object sender, ValidatePasswordEventArgs e) 
    { 
     //If the user is a new user, we let registration happen without strong password 
     if (e.IsNewUser) return; 


     MembershipUser membershipUser = Membership.GetUser(e.UserName); 
     Guid userId = Guid.Parse(membershipUser.ProviderUserKey.ToString()); 

     //First check if the pwd is strong enough to be flagged, if so we flag it 
     //using regex to validate the password (20 char, 2 uppercase so on) 
     if (MyValidationClass.IsStrongPassword(e.Password, 20, 2, 4, 1)) 
     { 
      //if the user does not already have a flag we set one 
      MyValidationClass.SetStrongPasswordFlag(userId); 
     } 
     else 
     { 
      //If the user needs strong pwd, we cancel the operation and throw exception 
      if (MyValidationClass.NeedsStrongPassword(e.UserName)) 
      { 
       e.FailureInformation = 
        new MembershipPasswordException("Password does not satisfy reqirements!"); 
       e.Cancel = true; 
      } 
      else 
      { 
       MyValidationClass.RemoveStrongPasswordFlag(userId); 
      } 
     } 
    } 

Answer 1

を上書き必要があります。両方に対応するための属性。あなたは、単に、あなたのアプリケーションの関連セクションにそれを使用する必要があります。

例えば：

public class HasChangedPasswordAttribute : AuthorizeAttribute 
{  
    protected override bool AuthorizeCore(HttpContextBase httpContext) 
    { 
     UserRepository repo = new UserRepository(); 
     var user = repo.GetCurrentUser(); 
     bool hasSecurelyChangedPassword = user.HasSecurelyChangedPassword; 
     return hasSecurelyChangedPassword; 
    } 

    protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext) 
    { 
     filterContext.Result = new RedirectResult("/Account/ChangePassword"); 
    } 
} 

上記のユーザーが安全にパスワードを変更されたことを確認します。そうでない場合は、パスワードを変更する新しいページにリダイレクトされます。変更したら、フラグを変更したものに設定します。あなたはこのようにそれを使用することができます

：

[HasChangedPassword] 
[Authorize(Roles="SuperRole")] 
public ActionResult MySecureAction() 
{ 
... 
} 

あなたは明らか一つにこれらの属性の両方を統合することもできますが、一例を示すのために、彼らは、上記区切られています。

Answer 2

をおそらく簡単な方法は、パスワードの強度を確認だろうユーザーが新しいパスワードを入力しようとしているときにクライアント側に表示されます。いくつかの例については、listをJQueryを使って調べてください。

パスワードのアップグレードとリセットの処理に関して、これはコードで処理できるものです。つまり、ユーザーテーブルのフラグで、ユーザーを新しい登録ページにリダイレクトします。彼らは、パスワードを設定し（そしておそらくそれが適切な強さと一致した）ときしかし、それは、その後...提出することができる

Answer 3

あなたがあなた自身の承認書くことができますがMembershipProvider.OnValidatingPassword

http://msdn.microsoft.com/en-us/library/system.web.security.membershipprovider.onvalidatingpassword.aspx