单页登录 - 安全吗？

Question

我将MVC5用于用户必须使用自定义凭据登录的网站。我已经将登录过程从初始自动生成的代码更改为有点单页的方法。

1. 用户输入凭据
2. 这些是通过ajax发送到控制器
3. 如果凭据有效，则显示加载动画，并通过ajax
加载主页面
4. 返回主页面的控制器使用[Authorize]属性进行注释。

我想知道：有什么基本的东西可以反对这种做法吗？。我运行的网站没有任何绝密内容，但它不应该只是因为我错过了一些基本的东西。

从我所看到的情况来看，MVC5的自动生成的登录程序也以纯文本形式发布凭证，就像我使用的ajax帖子一样。自动生成的登录包括我认可的RequestVerificationToken。

感谢您的任何想法！

Answer 1

使用AJAX对用户进行身份验证是一种常见方法。我会推荐几件事：

• 每当您发送用户名/密码组合等凭据时，都应始终通过SSL完成。即使在用户通过身份验证后，所有请求都应通过SSL发送，以防止黑客窃取安全令牌。
• 确保您的AJAX调用中没有UI代码。 AJAX仅用于发送和检索数据。您的UI应该使用诸如Knockout，Backbone或Angular之类的框架在客户端上。即使您没有进行完整的SPA（单页应用程序）并且不需要其中一个框架，也请选择客户端模板框架，如Mustache或Handlebars。