ASP.NET 인증에 대한 조언 필요

Question

데이터베이스를 공유하는 두 개의 ASP.NET MVC 웹 사이트를 구축하고 있습니다 (데이터를 공유하기 때문에). 즉, 사이트 간 로그인은 현재 공유되지 않습니다. 참고로, 나는 Hibernate (현재)에서 SQL Server와 데이터 액세스를 위해 NHibernate를 사용하고있다.

현재 시스템에는 사이트, 역할, 사용자 및 권한에 대한 테이블이 있습니다. 사이트에는 사용자, 권한 및 역할 집합이 있습니다. 사용자는 많은 역할을 수행 할 수 있습니다. 역할에는 일련의 권한이 있습니다. 사용자는 사용자 이름과 비밀번호로 로그인 할 수는 있지만 모서리에 그림을 그려 넣지 않으려합니다. 나중에 Google 또는 Facebook의 로그인 정보를 사용할 수 있기를 바랍니다.

이제 사이트 확보와 관련하여 어떤 경로를 택할 지 조금 혼란 스럽습니다. 저는 여러 가지 이유로 옛날 학교 회원 및 역할 제공 업체에 매혹되지 않았습니다. 이것들 가운데서 가장 중요한 것은 제가 많은 역할을 역할로 제한하지 않을 것입니다. 사용자 액세스 권한에 따라 사물이 제한됩니다. 인증을 위해 다음과 같은 몇 가지 시나리오를 검토하고 있습니다. 1) 속성을 통해 컨트롤러 메소드를 사용하는 데 필요한 권한을 지정할 수 있기를 원합니다. 2) 사용자가 특정 역할에 있거나 특정 권한을 갖고 있는지 신속하게 쿼리하고 볼 수 있기를 원합니다.

사실, 나는 일련의 질문이 있지만, 서로 얽혀 있습니다. 첫째, 어떻게해야합니까? 사용자 정의 권한 속성일까요? 둘째, 로그인 등의 작업 흐름은 무엇입니까? 이 작업이 적절하고 안전하게 작동하는 데 필요한 단계는 무엇입니까?

나는 이것들이 일종의 멍청한 질문이라는 것을 알지만, 과거에 나는 옛 공급자의 일을하는 방식으로 과거에 얻었습니다. 나는 특별히 신경 쓰지 않으며 더 좋은 제안을 정말로 원할 것입니다. 그래서 나는 오래되었던 모든 것이 나를 위해 새롭다 고 생각한다.

Answer 1

나는 해충처럼 MS로부터 회원 서비스 제공자를 피할 수있다. .NET 2.0이 출시되었을 때 이미 구현 된 상태였으며 최근의 새로 고침이 더 좋지 않습니다.

멤버십 공급자에게 속하지 않은 역할, 사용자, ... 회원님이 직접 사용할 수 있습니다. 처리하는 httmodule를 생성위한 인증을 설정위한 인증이 필요한 모든 IIdentity에서하고 httmodule

string[] roles = new[] {"Admin", "CoolDude"}; 
HttpContext.Current.User = new System.Security.Principal.GenericPrincipal(user, roles); 

에서 파생 된 사용자입니다합니다 (Context.User.Identity에 대한 간단한 userId를가 충분)

말했다. . 그리고 이제 귀하의 mvc 컨트롤러에 단순히 게임을 재생하는 데 필요한 인증 속성을 추가하십시오! 사용자가 특정 직접 역할

if (HttpContext.Current.User.IsInRole("Admin")) { ...