在asp.net中进行身份验证,真的需要吗?
在ASP.NET中,是否真的需要身份验证?这个问题的出现原因是默认的身份验证是Windows身份验证。无论你在web.config中输入什么,如果没有给予读取权限,你的页面首先会通过Windows身份验证,要么你无法看到它们,要么会提示你输入密码。
在IIS中,你可以看到公共用户。如果你不给予该用户访问权限,你就无法看到你的页面。有关详细信息,请参考这个回答:如何在IIS上为ASP.NET设置正确的文件权限。
现在回到你的问题,如果你真的需要ASP.NET中的身份验证和授权,你不需要任何东西-但你是否尝试重新发明它?你是否完全了解它是如何工作的,并且你的代码是否与它重复了?ASP.NET是一个很好的、强大的、可以轻松扩展的身份验证模块。
根据你的说法,你检查数据库并验证用户,好了之后呢?你怎么知道你的用户是下一个页面上的那个用户?你如何控制它,如何注销你的用户,如何确保中间人没有窃取他们的密码和凭据?