在asp.net中进行身份验证，真的需要吗？

Question

12 浏览2023年6月12日

匿名的 2023年6月12日

0 Comments

我是一个认证概念的新手，所以正在探索认证和不同类型的认证。

我的第一个疑问是，当我在谷歌上搜索时，它说默认的Web项目认证是Windows认证，但是当我查看我的新的Web项目时，它在我的web.config文件中显示为Forms认证。

ASP.NET Web项目的正确默认认证是什么？

我的另一个疑问是，是否真的需要在ASP.NET中使用认证和授权，因为我曾在一个MVC项目中工作过，在那个项目中，当用户登录时，我会检查数据库中的用户名和密码是否匹配，如果匹配，则检索该用户的角色ID，然后授予用户拥有权限的菜单？

0

匿名的 · Answer 1 · 2023-09-01T00:50:07+00:00

在ASP.NET中，是否真的需要身份验证？这个问题的出现原因是默认的身份验证是Windows身份验证。无论你在web.config中输入什么，如果没有给予读取权限，你的页面首先会通过Windows身份验证，要么你无法看到它们，要么会提示你输入密码。

在IIS中，你可以看到公共用户。如果你不给予该用户访问权限，你就无法看到你的页面。有关详细信息，请参考这个回答：如何在IIS上为ASP.NET设置正确的文件权限。

现在回到你的问题，如果你真的需要ASP.NET中的身份验证和授权，你不需要任何东西-但你是否尝试重新发明它？你是否完全了解它是如何工作的，并且你的代码是否与它重复了？ASP.NET是一个很好的、强大的、可以轻松扩展的身份验证模块。

根据你的说法，你检查数据库并验证用户，好了之后呢？你怎么知道你的用户是下一个页面上的那个用户？你如何控制它，如何注销你的用户，如何确保中间人没有窃取他们的密码和凭据？