Direzione per lo schema di autenticazione token in C #

0

Al momento sto sviluppando un'applicazione web HTML5 / C # per sostituire un'app per moduli ASP.NET precedente e, dopo aver letto molti blog e post, non riesco ancora a comprendere gli obiettivi, gli obiettivi e i punti deboli degli schemi di autenticazione incorporati in ASP. NETTO. Quindi, se implementassi la mia autenticazione / sicurezza nel modo seguente, cosa cambieresti? IE: come saresti più intelligente e più veloce di me. (L'app utilizza socket Web SignalR e richieste AJAX per pilotare il front-end HTML5).

  • Tutti gli utenti sarebbero anonimi in base a ASP.NET.
  • Le informazioni dell'utente verranno archiviate in un oggetto dizionario esteso all'applicazione.
  • L'accesso verrebbe eseguito dal server verificando i crediti forniti contro una tabella utente nel DB.
  • In caso di successo, il server di login genera un token per il client da archiviare, a condizione che sia conveniente e sicuro.
  • Il token verrebbe inviato con tutte le richieste in modo che ogni richiesta possa essere convalidata sul server e verranno eseguite solo le azioni appropriate (non sono sicuro che SignalR abbia un modo per aggiungere automaticamente un token ad ogni richiesta)
  • Il server dovrebbe espirare manualmente i token.

Sarebbe una buona idea abilitare lo stato della sessione e memorizzare le informazioni utente di base lì, quindi non devo espirare manualmente i token? Ma poi dovrei aggiungere manualmente i dati dei cookie alle richieste di SignalR giusto?

Onestamente, mi sento più a mio agio nel girare il mio, soprattutto dal momento che abbiamo altre app (e altri sviluppatori che non amano framework auth) che dipendono dalla nostra tabella utente personalizzata. L'app non è pubblica, quindi non abbiamo bisogno di nulla di speciale come OAuth o server di autenticazione.

    
posta Ian 28.04.2017 - 00:18
fonte

1 risposta

1

Ok quindi questo è fondamentalmente un token di sessione.

A parte il tuo "dizionario per app" che mangerà memoria e bloccherà il tuo server a un certo livello di utenti. Il problema con lo schema è come integrare il controllo del token con iis in modo che le richieste tutte siano autenticate / autorizzate? (sì, questo significa logo.jpg)

Certo, ci sono vari modi per farlo. Ma sei obbligato a lasciare un buco se provi a tirare il tuo.

Sfortunatamente i nuovi metodi di autenticazione possono essere più difficili da utilizzare rispetto ai vecchi a cui siamo abituati. Ma vale la pena seguire una guida, devi solo impararlo una volta.

    
risposta data 28.04.2017 - 18:18
fonte

Leggi altre domande sui tag