使用Membership API的主要缺点是什么?在什么情况下应该考虑依赖手动编码?
使用Membership API的主要缺点是什么?在什么情况下应该考虑依赖手动编码?
绝不要自己编写任何与安全有关的代码。这包括身份验证/成员资格。
编写自己的身份验证系统看起来很容易:基本功能很容易编写和测试。然而,问题在于设计过程要具备安全性。因为这很容易做到,所以也很容易构建出似乎只能起作用的东西-它通过所有测试,允许它应该允许的人,并阻止它不应该阻止的人,然后你就部署了你的系统。然后一个黑客来了,找到了你设计中的小漏洞。一年后你终于发现你已经被攻破了。
成员身份API的特点是可扩展性。如果没有一个开箱即用的提供程序可以满足您的需求,您可以扩展其中一个而无需从头开始,因此除非特殊情况,否则几乎没有阻止您使用它的原因。
这个原则不仅适用于ASP.Net,还适用于您可能想要实现身份验证系统的任何其他平台。无论您使用哪个平台,都应尽可能借助提供给您的经过考验的安全功能。