ユーザーに登録してもらいたい個人のウェブサイトを作成しています。私は、取るべきさまざまなセキュリティ対策を検討してきましたが、主に何に注意を払う必要があるのか興味があります。主に自分で認証プロセスを作成するために、ASP.NETフォーム認証を使用しないことにしました。これが私がこれまでにしたことです:
- パスワードやソルトのハッシュなどのユーザーのログイン情報を保存しているMySQLデータベースがあります
ログインしたら、セッションをユーザー名と同じに設定します。これにより、フォーム認証を使用せずにログインしたユーザーを追跡するための最良の方法ですか?たとえば、セッションを設定すると、次のようになります。
Session["User"] = username;
ログインしたユーザーを追跡するためのより良い方法はありますか?それとも、これは許容できるが、それでも安全な、物事を処理する方法ですか?