現在、私は MVC4 を使用するプロジェクトに取り組んでいます。このプロジェクトでは、データベースを調べてコンテンツを返すサービス参照があります。サービス リファレンスでは、電話をかけるたびにユーザー名とパスワードを入力する必要があります。
このためのベストプラクティスは何ですか? パスワードを暗号化して Cookie に保存する必要がありますか、それともユーザーに認証トークンを発行する必要がありますか? または、3番目のオプションはありますか?
1 に答える
2
初め。しないでください。しないでください。ユーザーのパスワードを保存することは決してありません。一度もない。私は真剣です。一度もない。いかなる状況下で。緩和要因はありません。このルールを破るほど重要なことは何もありません。これまで。このルールを破ることが唯一の選択である場合(たとえば、あなたが管理していないサードパーティのサービスから)、それを拒否します。誰かを作って、どこかでそれを動かしてください。必要に応じて仕事を辞めてください。私はそんなに真面目です。
ユーザーのパスワードを保存すると、ユーザーとソフトウェアの間の信頼が失われます。ハッキングされた場合、パスワードを発見可能にし、それらのパスワードを再利用して厄介なことを行うことができます(誰かの銀行口座に侵入してすべてのお金を奪うなど)。パスワードを保存すると、全体としてインターネットセキュリティの問題の一部になります。あなたがどれほど小さいと思うか、またはデータがどれほど無関係であるかは関係ありません。誰かのパスワードは、あなたが知らないかもしれない多くの重要な事柄へのアクセスを制御します。
だからそれをしないでください。しないでください。
さて、あなたの本当の問題を解決することに移りましょう。この問題への対処方法は、状況によって異なります。このサービスはWebサーバーと同じドメインにありますか?それはあなたの管理下にありますか?インターフェースを変更できますか?サービスを開発していますか?状況を説明してください。
于 2012-10-31T14:46:37.090 に答える