دوستان برای سایت هایی که تنها یک کاربر Admin دارند بهترین نوع احراز هویت کدومه ؟

ذخیره اطلاعات ورود در بانک اطلاعاتی به علت تزریق اسکیوال همیشه مسئله بوده به نظر من اگر فقط یک کاربر داری یک user در authentication در وب کانفیگ درست کن و اون رو چک کن البته پسورد رو هش کن:


<authentication mode="Forms">
<forms name=".Cookie" loginUrl="login.aspx" protection="None" timeout="30" defaultUrl="admin.aspx">
<credentials passwordFormat="SHA1">
<user name="admin" password="C1DC8F74A14892ECCCD74F9CCF4CB7A" />
</credentials>
</forms>
</authentication>

خب دویت عزیز برای استفاده از این روش چه باید کرد ؟

من با این روش آشنایی ندارم

در ادامه در وب کانفیگ صفحات محافظت شده و نحوه دسترسی رو مشخص می کنید:


<location path="admin.aspx">
<system.web>
<authorization>
<allow users="admin" />
<deny users="*" />
</authorization>
</system.web>
</location>

بعد از اون در صفحه لاگین کد زیر رو می نویسید:


Protected Sub btnlogin_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles btnlogin.Click


If FormsAuthentication.Authenticate(usr.text, pass.text) Then
FormsAuthentication.SetAuthCookie(usr.text, True)
FormsAuthentication.RedirectFromLoginPage(usr.text , True)
Else
label1.Visible = True
label1.Text = "نام کاربري و يا رمز ورود نادرست است."
usr.Text = ""
pass.Text = ""
End If
End Sub

usr تکس باکس دریافت نام کاربری و pass برای دریافت پسورد مدیر هست.

اگه user رو در وب کانفیگ ایجاد کنی به علت عدم دسترسی کاربران به این صفحه(حداقل تا حالا) امنیتش بالاست ولی باید پسورد رو هش شده استفاده کنی تا مدیران هاست هم بهش دسترسی نداشته باشن برای این کار با کد زیر رمز مورد نظرت رو هش کن و در اولین کد برای ایجاد یوزر در وب کانفیگ اسنفاده کن.


Dim pass As String = System.Web.Security.FormsAuthentication.HashPasswo rdForStoringInConfigFile("Your Password", "sha1")
Label1.Text = pass

در اینجا your password پسور مورد نظر شماست که در خروجی لیبل بصورت هش شده نمایش داده می شه.