Microsoft Asp.Net Identity 2.0 - 实体框架与自定义提供程序

Question

我正在编写一个新网站，并且正在研究 Asp.Net Identity 2.0。开箱即用，它使用实体框架进行所有数据访问。对于站点的其余部分，我们正在创建用于数据访问的中间件 Web 服务。出于安全考虑，我们最初的计划是 Web 服务器将与中间件对话，而中间件将通过实体框架与数据库对话。我们曾计划通过防火墙阻止来自 Web 服务器的数据库访问。

我发现我可以为 Identity 2.0 创建一个自定义提供程序，然后它可以使用中间件进行数据访问。

这是我的问题：

1. 不允许 Web 服务器直接访问数据库是否更安全？
2. 如果它更安全，为什么微软不开箱即用地构建它
3. 如果您像我们一样从头开始，您会建议使用实体框架还是编写一个通过我们的中间件层的自定义提供程序？

谢谢。

Answer 1

1.) 它可以是安全的。我不认为这是一个安全问题，而是耦合问题。如果将来要从 Entity Framework 升级或更改怎么办？如果你想从 Identity 2.0 改变怎么办？如果您想升级其中一个但由于另一个尚不支持而无法升级怎么办。

2.) 微软首先想要推广它的产品。为简单起见，如果您对 Entity Framework 和 Identity 2.0 没问题，并且不介意它们的耦合程度，这可能是一个非常好的解决方案。

3.) 您可以在自定义提供程序上花费多少时间/精力？创建自己的提供程序可能不值得。

Answer 2

开箱即用的 Asp.NET Identity 实际上是 Entity Framework 上的 Asp.Net Identity。它为您生成数据库、连接字符串、模型文件、控制器和上下文类，您可以将其重定向到您自己的数据库，以便在其中生成身份表。一切都非常安全，他们已经为您处理了很多身份验证/密码哈希。我不会说创建自己的提供者是值得的，但如果你愿意，你也可以在 Identity 中创建自己的提供者。身份 2.0 很棒。很容易添加自定义表格属性等。