Где можно почитать о том, какой должна быть архитектура защиты веб-приложения?
Здравствуйте.
Решил написать свою собственную систему аутентификации и авторизации на ASP.NET MVC. Вопрос заключается в следующем: где можно узнать список вещей, которые надо учесть и реализовать для веб-приложения? Помимо известных всем хэшей, ролей.
Сергей: Identity не годится. Там очень много косяков, и чтобы исправить их, надо много чего реализовывать самому. Я сейчас не имею в виду кастомные провайдеры, а именно саму систему Identity 2.X
Сергей: habrahabr.ru/post/143024 — про старую, в новом оно не сильно изменилось. А из 2.X самые явные: нельзя проверять куки при запросе (app_begin) — если пользователь залогинен в одном браузере, потом зашел с другого браузера и изменил пароль, сессия в первом браузере не удаляется. Это уже не говоря о том, что система привязана к EF/SQL-Server. Приходится писать или пользоваться уже готовыми провайдерами, к тому же MongoDB/MySQL/PG.. И с учетом обновления OWINcontext каждые 2 месяца, эти провайдеры на NuGet зачастую устаревают.
Макс Максимов: В статье про AspNetMembershipProvider != Identity, с остальным согласен, хотя куда же без обновлений. С удовольствием посмотрю/поучаствую в Вашем проекте :)
