روش احراز هویت توصیه شده توسط شما در برنامه هاي تحت وب چيست ؟

[merlin_vista]

با سلام :

در مورد موضوعي كه ميخواهم به گفتگو بگزارم ميدونم بحث زياده و همه يه چيزي را ميگن .

ولي ميخوام در پايان اين تاپيك به يك جمع بندي برسيم و آن را به عنوان استاندار بپزيريم و در برنامه ها تحت وب خود از آن استفاده كنيم .

همه شما روشي را براي اعتبار سنجي برنامه هاي خود داريد .

1 - اعتبار سنجي با استفاده از Session و كوكي مانند : روشي را كه در Asp كلاسيك بود .
2 - اعتبار سنجي با استفاده از روش Authentication ؛ روشي كه در Asp.net 1.1 معرفي شد .
3 - اعتبار سنجي با استفاده از روش Membership ؛ كه در asp.net 2 اين كلاس معرفي شد .

لطفاً دلايل خود را براي استفاده كردن يا نكردن از اين روش ها بيان كنيد .

[mostafa_sgh]

سلام دوست عزیز

ممنونم که این تاپیک رو راه انداختی ....

من خودم قبلا از Authentication Asp.net 1.1 استفاده میکردم ( چون هنوز خوب یاد نگرفته بودم ) و بعد به Membership سفر کردم . اونم به دلیل اینکه امکانات خوبی داره و لی باز هم دست و پا گیره و همچنین دنگ و فنگ های زیادی برای استفاده تو هاست داره .

از Session به تنهائی هم به دلیل امنیت پائینش استفاده نمیکنم .

برای حل این موضوع هم یه کلاس شبیه Membership ولی خیلی ساده تر و جوابگوی احتیاجاتم نوشتم و توش از ترکیب (کوکی ) Authentication و Session استفاده کردم .

البته همیشه امنیت 100 درصد نیست ولی چه میشه کرد ....


سایر دوستان هم نظراتشونو اعلام کنن ممنون میشم ...

*** در ضمن به این جوابهای نظرسنجی یه گزینه هیچ کدام هم اضافه کن

[amirniknam]

من از Membership دات نت 2 استفاده مي كنم ولي به صورت دستي ticket مي سازم و نمي زارم ديتا بيسمو شلوغ كنه

[amin727]

Membership va ticket ولی از دیتابیس membership provider خودش استفاده نمی کنم... خودم نوشتم

[anahitanaragh]

دوستان یه سوال دارم
گزینه MemberShip که شما راجع بهش حرف می زنید چیه؟
توی این سایت راجع به اون صحبت شده اگر شده کجا و اگر نشده من چطوری راجع به اون اطلاعات کسبل کنم؟

[KavoshGar_ir]

دوستان یه سوال دارم
گزینه MemberShip که شما راجع بهش حرف می زنید چیه؟
توی این سایت راجع به اون صحبت شده اگر شده کجا و اگر نشده من چطوری راجع به اون اطلاعات کسبل کنم؟

Introducing the ASP.NET Membership API

The Membership API framework provides you with a complete set of user management functions

out of the box:

• The ability to create and delete users either programmatically or through the ASP.NET web

configuration utility.

• The ability to reset passwords with the possibility of automatically sending password reset

e-mails to the users if an e-mail address is stored for the affected user.

• The ability to automatically generate passwords for users if these users are created programmatically

in the background. Of course, these passwords can be sent to these users

automatically if e-mail addresses are available for them.

• The ability to find users in the underlying data store as well as retrieve lists of users and

details for every user.

• A set of prebuilt controls for creating login pages and registration pages and for displaying

login states and different views for authenticated and unauthenticated users.

• A layer of abstraction for your application so that the application has no dependency on the

underlying data store through the so-called Membership provider classes. Any functionality

listed until now therefore works completely independently from the underlying data store,

and the data store can be replaced with other types of data stores without needing to modify

the application at all.

And more ... Search

[mamizadeh]

با سلام من با membership کار کردم و با session هم کار کردم ولی گزینه دوم رو کار نکردم
نمی تونم این رو به عنوان یه اصل در این سایت معرفی کنم ولی من از بچگی یه عادت خیلی زشتی داشتم و اونم این که از چیز هایی با اسکلت آماده و غیر انعطاف پذیر خوشم نمی امد به همین منظور خودم چیزی تو مایه های Memebership درست کردم و تا حد سواد خودم رو امنیت اون کار کردم ولی نمی تونم یگم کامله حدود 3 ماه روش وقت گزاشتم ولی چون خودم نوشتم به هر شکلی که بخوام می تونم در بیارمش که با قابلیت های
درج کاربران
درج صفحات
درج ماژول ها
درج رابطه ماژول ها با صفحات
درج قواعد دسترسی Role
و درج رابطه صفحات با Role ها و رابزه رول ها با کاربران
که با session و کوکی ها کنترلش می کنم البته با کد و دی کد کرد اطلاعات
ولی از شما چه پنهون خیلی دوست دارم امنیتش رو بالا ببرم ولی چون یه هکر نیستم نمی تونم کاملا مدیریت امنیتی داشته باشم

[مهدی کرامتی]

Membership ربطی به Authentication نداره، بلکه مربوط به مرحله بعد از Authentication یعنی Authorization میشه.

به این ترتیب می بایست گزینه سوم رو از نظرسنجی تون حذف کنید.

بهترین روش ممکن برای Authentication (احراز هویت) استفاده از Forms Authentication ، یعنی همان مکانیسم موجود در خود دات نت است. دلیل این امر نیز کامل بودن آن است. اگر بخواهید با استفاده از Session و Cookie کارهایی که مکانیسم فوق انجام میدهد را بعهده بگیرید فقط چرخ را از ابتدا اختراع کرده اید.

درباره Authorization: استفاده از مکانیسم Roles and Membership دات نت را توصیه نمی کنم، چون:

1. بکار گرفتن و راه اندازی آن زحمت و مطالعه زیادی میخواهد.
2. پس از انجام مراحل شماره 1، در عوض امکانات زیادی به شما نمی دهد.

پ.ن: بهترین ترجمه برای Authentication احراز هویت است، نه اعتبارسنجی. بنابراین عنوان تاپیک شما را اصلاح کردم.

[iman_ad]

سلام من تا به حال از Forms Authentication استفاده می کردم و برای سطح دسترسی هم از Roles and Membership ولی رو یک پروژه کار می کنم که برام امنیت یک اصل، چه توصیه ای دارید.
در ضمن می خوام اهراز هویت مرحله ای داشته باشم
اول از کاربر بخوام username وارد کنه. اگه موجود بود از یک کد امنیتی برای تشخیص human و بعد اسم رمز اگه درست بود password و بعد مجوز ورود بدم.

[mamizadeh]

با سلام خدمت دوستان
من همین طور که گفتم با Authentication یا From Authentication کار نکردم منبع فارسی یا انگلیسی خوبی در این ضمینه اگه دارید لطفا واسه من و بچه ها لطف کنید
اگر امکان داشته باشه به صورت خلاصه و مختصر یه توضیحی در این رابطه لطف کنید
با تشکر