问题描述

通常是 not 使用内置的ASP.NET会员资格提供商非常糟糕的想法吗?

我始终为我的ASP.NET应用程序(公众面对)滚动，真的没有任何问题.它有效，似乎避免了一层复杂性.我的需求很基本:一旦设置，用户必须使用电子邮件地址和密码登录，如果他们忘记了它，它将通过电子邮件发送给他们(一个新的).设置后，只需要对每个用户帐户进行完成，但我确实需要使用每个用户(全名，电话和其他几个字段等)存储几个额外的字段.所需登录凭据的用户数量很小(通常只是管理员和一些备份)，并且其他人都使用该网站未经身份验证.

通过跳过ASP.NET成员资格提供商功能，我可能会遗漏的大的优点是什么?

推荐答案

滚动您自己的身份验证系统是永远不会一个好主意.有很多方法可以弄错了，仍然是似乎在测试中工作，直到一年后，当你发现你的网站六个月前被破解了.

始终在您的平台为您提供的安全代码上尽可能瘦，是ASP.NET或其他任何东西.执行此操作，该系统由供应商提供更多部署，以便可以找到错误，并且即使您确实遇到了问题，您可以在您的老板询问时将责任归咎于供应商.更不用说，一旦你第一次使用您的供应商的解决方案，额外的部署将更快.这只是正确的方法.

ASP.NET会员资格提供商远非完美，但我保证您最好从头开始建立它.

其他推荐答案

提供商模型在这里概述 ，但简要:

1. 某些开箱即用的WebControls是用来使用成员资格提供程序模型，例如登录控件/查看以及创建用户向导.因此，您错过了一个1步配置，为所有页面具有所有页面，而无需写入任何代码.

2. 提供程序可以通过Web.config文件的简单更改交换.没有说你不能编写自己的登录东西来做同样的事情，但你可以在某些时候轻松地编写一个自定义提供商，然后将其切换到应用程序中而不改变应用程序中的东西.

3. 提供所有基础知识.默认会员提供程序具有密码检索，帐户锁定，多个密码加密方法，有效的密码限制规则配置和用户管理，都开箱即用.只需使用单独的是，大多数人从头开始启动ASP.NET应用程序的设置时间巨大减少.

4. 应用程序的大量组件已经审核.您不需要担心调试所有自己的身份验证代码！这意味着当存在错误时，您经常在网站休息之前修复，如果没有，您可以通过责任.

其他推荐答案

我同意 ayende对此的感受:

这是一个巨大的API，它产生了很多假设，并且在它为您提供的内容以及您必须实现的内容时，它真的不太好

这也是我的经验.随时我实施了我自己的会员提供者(在写作时的两次)我留下了绝大多数覆盖的方法，因为我永远不会打电话给他们，我没有使用任何网络形式使用它们的控件.

如果他们满足您的所有需求，SQL和Active Directory提供程序很棒.但如果他们没有，你正在考虑实施提供者，那么你可能会有更好的方法.

不要将empersepprovider与 formsauthentication ，我仍然定期为我的应用程序依赖.这是在Cookie中绑定用户身份验证令牌并在客户端和服务器之间传递的机制.据我所知，FormsAuthentication没有错，我不建议重新发明它.

如果您不想实现数十个 MembershipProvider方法， RealProviderMethods ，和 profileprovider方法然后只是实现 iprincipal Iidentity 并只是做你需要的东西做. 这里是获得使用FormsAuthentication的那些接口的一个例子，这是微不足道的.

还要知道您需要智能地存储用户的凭据. sqlmembershipprovider do 至少可以存储散列盐渍密码.确保你至少这样做. 这是一个很好的一块代码帮助解决这个问题.注意慢散列算法使用.不要毒品.

更新(2013-12-16)

自从我写这篇文章以来，ASP.NET中已经发生了变化. asp.net identity 替换以前的成员资格特征.

我的建议是使用新的东西，因为:

• 您可以实现各种接口以构图满足您需求的解决方案.这意味着您可以实现所需的那些部件并忽略您没有的那些部件.
• 您可以完全更改何处/如何存储身份数据，同时保留控制密码如何获得散列的默认实现.
• oauth和Openid特征.
• 您可以在OWIN上建立的任何框架中使用相同的系统.

API比以前更复杂，但更灵活.

以上所述是小编给大家介绍的不*使用asp.net会员制提供者是个坏主意吗？,希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对77isp云服务器技术网的支持！