带有会话的 ASP.NET 身份验证和安全性

Question

我正在构建一个 Intranet ASP.net Web 应用程序，遗憾的是它无法使用内置的会员功能，因为所有用户和登录名都存储在公司数据库中。它将使用 Windows 身份验证并与之匹配。

我计划在一个单独的数据库中拥有自己的“用户”表，该表将通过简单的关系处理应用程序内的访问权限。

在第一次访问时，应用程序将使用公司数据库对他们进行身份验证，然后检查本地数据库以查看他们是否属于有效用户（只有某些员工可以访问）。本身没有“登录”表单。

安全性很重要，但应用程序很小。我可以在 ASP.net Session 对象中安全地存储布尔“isLogged”和字符串“用户名”，而不必担心被劫持等吗？是否有其他解决方案，或者我应该在每个页面上进行验证？

Answer 1

您可以通过创建将从您的表中读取的成员资格和角色提供程序的实现来轻松使用表单身份验证。

我认为这比尝试从头开始创建安全的身份验证系统要好得多。

毕竟这就是提供者模型的创建目的。