我有一个ASP.Net应用程序,可以呈现敏感信息。应用程序需要用户在查看应用程序的主页面之前登录。身份验证通过Web服务完成。
这很简单,但硬件设计是多层次的。 1)用于登录的Web服务器2)主应用程序的应用程序服务器3)数据库
是否需要在第1层编写单独的ASP.net应用程序来处理安全性,或者应用程序是否可以以某种方式保留整个应用程序?
如果需要单独的应用程序,如何将在身份验证期间收集的信息传递给第2层?我不确定会话变量是否会起作用,因为信息在另一台服务器上?
第2层到第3层的通信非常简单,它只是我坚持的安全模型。
显然必须进行某种数据包检测,这样当用户发出请求时,第1层必须对其进行验证,如果经过验证,则将其传递给第2层。我不确定如何做到这一点?
由于
答案 0 :(得分:0)
我建议只使用两层 - 网络和服务器。它实现起来会容易得多,而且容易出错。您只需将right settings应用于表单身份验证部分即可
使用SSL。还要考虑应用程序的一些安全测试 - SQL注入,权限管理,非法数据访问(通过发布/获取数据篡改),XSS等。
并查看this related question,它会为您提供一些有用的信息。
答案 1 :(得分:0)
我决定使用Web服务,带有Web服务和数据库服务器的Application Server。我还使用了安全Web服务。