我在网络应用中添加了一些功能,允许某人使用密码创建一个帐户,然后对其进行哈希处理和存储。
我希望能够允许用户登录我的网站并使用该检查中用户有权访问的页面。然后一段时间后会话将过期,用户必须再次登录。
有一个退出按钮也是一件好事。
我只是想知道设置这种安全性的最佳方法是什么,因为我之前没有这样做过。
答案 0 :(得分:2)
你正在制造的车轮肯定是好的,但为什么不使用已经发明的轮呢?
http://support.microsoft.com/kb/301240
对于会话,您可以使用Session["NameOfSession"]创建变量,但不要忘记在用户注销时使用Session.Abandon()。
答案 1 :(得分:0)
由于HTTP是脱机协议,因此应该在客户端和服务器之间发送一些额外数据,使服务器知道您每次请求都登录。这样的东西是保存这些信息的cookie文件。在每个请求服务器上检查此数据并确定您是否已经记录。一旦找到用户的名称和传递即可,您可以创建此文件,设置其生命周期并附加到服务器响应。在此之后,客户端浏览器将根据每个请求自动将其发送到您的服务器。文件过期后,客户端浏览器将自动删除它 您可以手动维护此功能,也可以信任FormsAuthentication。