内部使用ASP.NET/C#Webサイトの製造プロセスでは、認証/承認/ログインFIRSTから始まり、そこから構築することに利点がありますか?または、無制限の制限とログインや何もせずに、あなたが望むようにサイトを構築し、リリース前にプロダクションの最後でそれを行うだけです。それは私がやりたいことです---ウェブサイトの機能を無制限に操作して、心配することが少なくて済みます。しかし、私はこのアプローチが後で問題を引き起こさないことを確認したい。生産の開始時または終了時に認可を追加しますか?
ASP.NET認証を実装するには、スクリプトを実行して必要なテーブルを生成し、WSATを使用してユーザーを管理し、既存のコンテンツに制限を設けるだけです。 .. should be be ...
あなたのセキュリティを最優先で考慮する必要があります。最終ログイン画面を開発せずに開発時にアクセスを制限しなくても、IMOでは、「godモード」の開発に進む前に、ユーザーを認証して少なくとも1つの画面でアクセスを制限できることを確認する必要があります。インクルード:
このサイトは内部使用のため、ユーザーは信頼できません。また、SQLインジェクション、XSSなどから安全であることを確認する必要があります。
確かにそう、実用的なアプローチです。あなたは、セキュリティを追加することは、既存のプロジェクトに全く問題を生じさせないと言いました。
Infactでは、サイトを確保するためには、ユーザーを作成する前にいくつかの手順があります。また、ユーザー管理のためにWATに完全に頼ってはいけません。展開後に必要になるので、独自のインターフェイスを持つ方が良いと思います。
あなたのアプローチは、より高速に聞こえるかもしれないが、それは以下の分野で建築欠点を持っている:
の1-ページあたり/方法ごとのレベルの呼び出しとセキュリティアライメントがありません。
2-不明認証と認可に関してケースと作業フローを使用します。
3セキュリティベースのテストが完全に行われず、新しい機能が徐々に開発され、追加されます。
4-エンドツーエンド依存関係の欠如 - レイヤ間でセキュリティを考慮する必要がある場合は、モジュラ依存性とエンドツーエンドのテストに関するビジョン全体を見逃してしまいます。
全体として、1つのサンプルユーザー/ pwd/rolesを設定してサイトのすべての安全な領域に使用するだけで、アプリケーションを継続的にテストして開発するのに十分です。
後でアプリケーションの準備ができたら、多数のuser/pwdと関連する役割を扱うのは良いことです。
これが役に立ちます。
完全にビルドする機会がある場合は、セキュリティでbuidしてください。アプリケーションがどのようになるかを制限なしに知っている人。 「ソフトウェアを再利用できるようにするには、まずそのソフトウェアを使用する必要があります」 –
セキュリティを優先させる – Mubarek