【发布时间】:2014-06-06 17:40:27
【问题描述】:
我有一个 ASP.net 网页,如果用户在欢迎页面上输入有效的 Pin 号码,只有才能访问。例如,他们不应该通过在浏览器中输入 URL 来简单地访问该页面。
Flow: User visits web page. User enters their Pin on the welcome page.
If Pin is valid, user is redirected to the page in question.
If Pin is invalid, show an error message stating that the Pin is invalid.
好的,现在我已经设置好了,如果他们输入的 Pin 图正确,他们就会被重定向到页面。问题是,这并不能否定他们能够在浏览器中输入 URL 或以其他方式访问页面。当然,我可以使 URL 变得冗长和模糊,但这在我看来并不安全。
我有很多关于如何确保页面安全的想法。最好的例子是根据他们的 Pin 创建一个模糊的唯一 URL,重定向到有问题的页面,但我不确定如何在 ASP.net 领域内完成此操作。似乎有一些方法,属性,或者只是一般的编码技术应该内置到.net中来处理这个问题,因为它很常见。我只是不知道他们,就个人而言。
另外,我想确保与此页面的连接安全,可能使用 Https 或其他一些安全方法。也许这最好留给另一个问题。
【问题讨论】:
-
没有。混淆不是安全性。相反,请使用旨在处理此问题的现有工具,例如 Identity。顺便说一句,我真的希望你不只是使用密码。蛮力攻击真的很容易。
-
不,这不仅仅是一个密码,这只是一个例子。这只是一个例子,一个我试图在这里得到的框架。这是页面权限,并使某些页面不可用。
-
在会话开始事件期间重定向用户。然后在页面加载时检查会话以确保用户可以根据需要进行访问和重定向。