我以前从未使用过这个技术栈,我只想确保我的想法是正确的。
我有一个带有 Windows 认证的 WCF 服务,用于传输安全性和证书用于消息安全性,并且具有一个 TCP 终结点。我的服务具有验证纯文本用户名和密码的方法,用户名用于从数据库检索盐,并将给定的密码与该盐哈希化,然后与数据库中的密码进行比较。
为了在我的 ASP MVC 项目中对用户进行身份验证,我只需使用表单身份验证,并在动作从服务传递用户名和密码时设置身份验证 cookie,如果 WCF 服务返回 http 码 OK,则通过身份验证。
如果我实施必要的安全措施,如在 x 次认证请求失败后锁定帐户,是否足以保护我的应用程序?
此项目面向公众。