Authentification et sécurité ASP.NET avec la session

Question

Je crée une application Web intranet ASP.net qui ne peut malheureusement pas utiliser les fonctionnalités d'appartenance intégrées car tous les utilisateurs et toutes les connexions sont stockés dans la base de données de l'entreprise. Il utilisera l'authentification Windows et fera correspondre cela.

Je prévois d'avoir ma propre table "users" dans une base de données séparée qui gérera les privilèges d'accès au sein de l'application avec des relations simples. Lors de la première visite, l'application les authentifie avec la base de données de l'entreprise, puis vérifie la locale pour voir si elles sont parmi les utilisateurs valides (seuls certains employés auront accès). Il n'y a pas de formulaire de "connexion" en soi.

La sécurité est très importante, mais l'application est petite. Puis-je stocker en toute sécurité un booléen "isLogged" et une chaîne "username" dans l'objet Session ASP.net sans crainte de piratage, etc? Y a-t-il d'autres solutions, ou devrais-je valider sur chaque page?

Answer 1

Vous pouvez facilement utiliser l'authentification par formulaire en créant une implémentation des fournisseurs d'appartenance et de rôle qui liront à partir de vos tables.

Il sera beaucoup mieux de passer du temps que d'essayer de créer un système d'authentification sécurisé à partir de zéro, je pense.

C'est ce que le modèle de fournisseur a été créé après tout.