MVC中的成員資格,受權,安全性

• 使用 Authorize 特性登陸

 　　Authorize 是 ASP.NET MVC 自帶的默認受權過濾器, 可用來限制用戶對操做方法的訪問. 

• • 保護控制器操做
    • 　　
  • Authorize 特性在表單身份驗證和 AccountController 控制器中的用法
    • 　　ASP.NET MVC 的Internet Application 模板包含一個基本的 AccountController, 它支持 ASP.NET Membership 和 OAuth 驗證的帳戶管理. 

  • Intranet Application 模板中的 Windows Authentication

　　　　　　使用 Windows Authentication 可在 Web 應用程序以外處理 Registration 和 Log On 操做, 該模板不要求提供 AccountController 及其相關模型和視圖. 

• • 整個控制器的安全性

　　　　　　從匿名的購物車到要求註冊的結算的過分, 能夠經過在控制器 CheckoutController 上添加 Authorize 特性來知足結算對受權的要求. 

• • 使用全局受權過濾器保障整個應用程序安全

 　　　　　　把AuthorizeAttribute 配置爲全局過濾器, 使用 AllowAnonymous 特性匿名訪問指定控制器或方法. 

• 　　要求角色成員使用 Authorize 特性

　　　　　　Authorize 特性容許指定角色和用戶.   

• • 擴展角色和成員
    • 　　ASP.NET MVC 中的身份驗證和受權創建在 System.Web.Security 名稱空間的 Role 類和 Membership 類之上. 
• 經過 OAuth 和 OpenID 的外部登陸  

  　　OAuth 和 OpenID 是開放的受權標準, 這些協議容許用戶使用它們已有的帳戶登陸咱們的網站, 這些帳戶必須來自他們信任的網站. 

• • 註冊外部登陸提供器
    • 　　在 App_Start\AuthConfig.cs 中配置受權提供程序. 
  • 配置 OpenID 提供器
  • 配置 OAuth 提供器
  • 外部登陸的安全性

• Web 應用程序中的安全向量
  • 　　威脅: 跨站腳本
  • 威脅: 跨站請求僞造
  • 威脅: cookie 盜竊
  • 威脅: 重複提交
  • 威脅: 開放重定向

• 適當的錯誤報告和堆棧跟蹤
  • 　　使用配置轉換
  • 在生產環境中使用 Retail 部署配置
  • 使用專門的錯誤日誌系統

• 安全回顧和有用資源