Где можно почитать о том, какой должна быть архитектура защиты веб-приложения?

Question

[Макс Максимов]

Здравствуйте.

Решил написать свою собственную систему аутентификации и авторизации на ASP.NET MVC. Вопрос заключается в следующем: где можно узнать список вещей, которые надо учесть и реализовать для веб-приложения? Помимо известных всем хэшей, ролей.

Спасибо.

Comments

[Сергей]

Чем не устраивает ASP.NET Identity ? Катомизируется до любой степени необходимости, архитектура продуманная.

[Макс Максимов]

Сергей: Identity не годится. Там очень много косяков, и чтобы исправить их, надо много чего реализовывать самому. Я сейчас не имею в виду кастомные провайдеры, а именно саму систему Identity 2.X

[Сергей]

Макс Максимов: Если можно чуть конкретнее про "косяки" ...

[Макс Максимов]

Сергей: habrahabr.ru/post/143024 — про старую, в новом оно не сильно изменилось. А из 2.X самые явные: нельзя проверять куки при запросе (app_begin) — если пользователь залогинен в одном браузере, потом зашел с другого браузера и изменил пароль, сессия в первом браузере не удаляется. Это уже не говоря о том, что система привязана к EF/SQL-Server. Приходится писать или пользоваться уже готовыми провайдерами, к тому же MongoDB/MySQL/PG.. И с учетом обновления OWINcontext каждые 2 месяца, эти провайдеры на NuGet зачастую устаревают.

[Сергей]

Макс Максимов: В статье про AspNetMembershipProvider != Identity, с остальным согласен, хотя куда же без обновлений. С удовольствием посмотрю/поучаствую в Вашем проекте :)