Sécurisation d'une application ASP.Net à l'aide de niveaux multi-matériels

Question

J'ai une application ASP.Net qui rend des informations sensibles. L'application a besoin des utilisateurs pour se connecter avant de visualiser la page principale de l'application. L'authentification est effectuée via un service Web.

Ceci est assez simple mais la conception matérielle est multi-niveaux. 1) Serveur Web pour la connexion 2) Serveur d'application pour l'application principale 3) Base de données

Faut-il écrire une application ASP.net séparée sur le niveau 1 qui gère la sécurité ou est-ce que l'application peut rester dans son ensemble?

Si une application séparée est nécessaire, comment transmettrons-nous les informations collectées lors de l'authentification au niveau 2? Je ne suis pas sûr que les variables de session fonctionneraient comme l'information est sur un autre serveur?

La communication de niveau 2 à niveau 3 est assez simple, c'est juste le modèle de sécurité sur lequel je suis coincé.

Il doit évidemment y avoir une sorte de détection de paquets de sorte que lorsqu'un utilisateur fait une demande, le niveau 1 doit le valider et s'il est validé, le transmettre au niveau 2. Je ne sais pas comment cela se fait.

Merci

Answer 1

J'ai choisi Web Server, Application Server avec un service Web et un serveur de base de données. Je suis également allé avec un service Web de sécurité.

Answer 2

Je recommande d'utiliser seulement deux niveaux - Web et le serveur. Ce sera beaucoup plus facile à mettre en œuvre et moins sujette aux erreurs. Tout ce dont vous avez besoin est d'appliquer right settings à votre section d'authentification de formulaires.
Utilisez SSL. Considérez également certains tests de sécurité d'une application - Injections SQL, gestion des droits, accès aux données illégal (via post/get altération des données), XSS, etc.
Et vérifiez this related question, il vous fournira quelques informations utiles.