Где можно почитать о том, какой должна быть архитектура защиты веб-приложения?

Question

Макс Максимов @maximka19

Где можно почитать о том, какой должна быть архитектура защиты веб-приложения?

Здравствуйте.

Решил написать свою собственную систему аутентификации и авторизации на ASP.NET MVC. Вопрос заключается в следующем: где можно узнать список вещей, которые надо учесть и реализовать для веб-приложения? Помимо известных всем хэшей, ролей.

Спасибо.

Вопрос задан более трёх лет назад
2738 просмотров

5 комментариев

Подписаться 5 Оценить 5 комментариев

Сергей @senal

Чем не устраивает ASP.NET Identity ? Катомизируется до любой степени необходимости, архитектура продуманная.

Написано более трёх лет назад
Макс Максимов @maximka19 Автор вопроса

Сергей: Identity не годится. Там очень много косяков, и чтобы исправить их, надо много чего реализовывать самому. Я сейчас не имею в виду кастомные провайдеры, а именно саму систему Identity 2.X

Написано более трёх лет назад
Сергей @senal

Макс Максимов: Если можно чуть конкретнее про "косяки" ...

Написано более трёх лет назад
Макс Максимов @maximka19 Автор вопроса

Сергей: habrahabr.ru/post/143024 — про старую, в новом оно не сильно изменилось. А из 2.X самые явные: нельзя проверять куки при запросе (app_begin) — если пользователь залогинен в одном браузере, потом зашел с другого браузера и изменил пароль, сессия в первом браузере не удаляется. Это уже не говоря о том, что система привязана к EF/SQL-Server. Приходится писать или пользоваться уже готовыми провайдерами, к тому же MongoDB/MySQL/PG.. И с учетом обновления OWINcontext каждые 2 месяца, эти провайдеры на NuGet зачастую устаревают.

Написано более трёх лет назад
Сергей @senal

Макс Максимов: В статье про AspNetMembershipProvider != Identity, с остальным согласен, хотя куда же без обновлений. С удовольствием посмотрю/поучаствую в Вашем проекте :)

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Компьютерные сети

+2 ещё

Средний
Как настроить ACL между vlan, чтобы был полный доступ с одного vlan, с другого нет?
- 1 подписчик
- вчера
- 97 просмотров
2

ответа
C#

+1 ещё

Простой
Почему некорректно работает параметр маршрутизатора Razor Pages?
- 1 подписчик
- 11 апр.
- 55 просмотров
1

ответ
ASP.NET

+2 ещё

Сложный
Как отправить html шаблон с svg на gmail через aws?
- 5 подписчиков
- 11 апр.
- 3085 просмотров
1

ответ
ASP.NET

Простой
Почему шаблонная страница открывается на пол экрана?
- 1 подписчик
- 10 апр.
- 58 просмотров
1

ответ
Информационная безопасность

+4 ещё

Простой
Как исправить ошибку 0x138c при настройке консолидации логов с одного контроллера домена на другой?
- 1 подписчик
- 07 апр.
- 82 просмотра
0

ответов
Windows

+4 ещё

Средний
Как исключить Извещение безопасности Microsoft Outlook для ссылок в письмах?
- 2 подписчика
- 07 апр.
- 212 просмотров
1

ответ
C#

+1 ещё

Простой
Как разделить UI и логику десктоп приложения C#?
- 1 подписчик
- 06 апр.
- 161 просмотр
2

ответа
ASP.NET

+1 ещё

Простой
Как исправить ошибки SqliteException: SQLite Error 19: 'UNIQUE constraint failed: AspNetUsers.NormalizedUserName' и DbUpdateException?
- 1 подписчик
- 03 апр.
- 50 просмотров
1

ответ
Информационная безопасность

Простой
Информационная безопасность в облачных сервисах?
- 2 подписчика
- 03 апр.
- 213 просмотров
5

ответов
ASP.NET

Простой
В чем причина исключение FormatException?
- 1 подписчик
- 02 апр.
- 59 просмотров
2

ответа
Показать ещё Загружается…

Специалист по управлению уязвимостями (информационная безопасность)

Гринатом • Москва

от 100 000 до 120 000 ₽

Специалист по информационной безопасности

Данафлекс • Казань

от 90 000 ₽

Архитектор ИБ

АШАН ТЕХ • Москва

от 175 000 ₽

Доработать клиентское приложение для GTA 5 на C#

20 апр. 2024, в 00:51

1000 руб./за проект

Верстка и логика формы выбора билетов в зале для покупки

20 апр. 2024, в 00:43

10000 руб./за проект

Разработать формирование УПД на Java

20 апр. 2024, в 00:28

20000 руб./за проект

Чем не устраивает ASP.NET Identity ? Катомизируется до любой степени необходимости, архитектура продуманная.
Сергей: Identity не годится. Там очень много косяков, и чтобы исправить их, надо много чего реализовывать самому. Я сейчас не имею в виду кастомные провайдеры, а именно саму систему Identity 2.X
Макс Максимов: Если можно чуть конкретнее про "косяки" ...
Сергей: habrahabr.ru/post/143024 — про старую, в новом оно не сильно изменилось. А из 2.X самые явные: нельзя проверять куки при запросе (app_begin) — если пользователь залогинен в одном браузере, потом зашел с другого браузера и изменил пароль, сессия в первом браузере не удаляется. Это уже не говоря о том, что система привязана к EF/SQL-Server. Приходится писать или пользоваться уже готовыми провайдерами, к тому же MongoDB/MySQL/PG.. И с учетом обновления OWINcontext каждые 2 месяца, эти провайдеры на NuGet зачастую устаревают.
Макс Максимов: В статье про AspNetMembershipProvider != Identity, с остальным согласен, хотя куда же без обновлений. С удовольствием посмотрю/поучаствую в Вашем проекте :)

Где можно почитать о том, какой должна быть архитектура защиты веб-приложения?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт