Senhas para aplicativos que usam autenticação de terceiros?
https://stackoverflow.com/questions/994046
-
13-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Tenho uma aplicação ASP.NET MVC em que acabo integrou o href="https://rpxnow.com" rel="nofollow noreferrer"> RPX de terceiros sistema de identidade federada Como a identidade é tratado externamente, não tenho necessidade de senhas em meu aplicativo: Eu nunca receber a senha do usuário, apenas a sua identidade. No entanto, o material Provider ASP.NET adesão exige senhas ser passado ao redor, a fim de criar um usuário, assinar um usuário, etc. Eu estive pensando em usar Eu estaria interessado em ouvir como outros sites de lidar com esta questão, por exemplo, StackOverflow. [Veja também minha outra pergunta , sobre provedores de associação para tal aplicação.] new Guid() no momento da criação, mas isso exigiria uma chamada para o banco de dados para recuperar senha do usuário antes que eu pudesse assinar o usuário na via o provedor de associação. Eu poderia usar a mesma senha para cada usuário para que ele é conhecido com antecedência, mas eu estou preocupado que isso tornaria insegura dados do meu usuário.
Solução
mas estou preocupado que isso tornaria insegura dados do meu usuário.
Comece por assegurar que ninguém pode autenticar diretamente contra seu banco de dados usando um nome de usuário e senha - Eu imagino que isso já é o caso, como você está usando RPX para fazer a autenticação real, e você só está chamando o provedor de associação ASP.NET uma vez você já estabeleceu a identidade do usuário.
Em seguida, a senha armazenada no seu lado torna-se irrelevante, porque não é um segredo - se eu posso descobrir o que a senha de alguém está do seu lado, não de repente, comprometer seus dados, porque eu ainda não consigo entrar usando essa em formação. O segredo do usuário é gerido pela 3ª provedor de partido, não você.
Então, assim como você pode armazenar o que é mais conveniente (ou seja, um valor fictício conhecido) - assim como você pode desativar a criptografia de senha, bem como sobre o provedor de associação, para voltar alguns ciclos no servidor. Nenhum ponto de criptografar / hash valores que não são usados ??para verificar a identidade de qualquer pessoa.
Outras dicas
Por filiação uso asp.net, então? Realmente não se encaixam o que você está fazendo o que é 3º autenticação festa. Talvez você possa ter um olhar para o DotNetOpenID projeto e exemplos como eles têm um asp clássico. exemplo site net que você pode modificar para MVC? Eles têm um wiki aqui Talvez o Google DotNetOpenID MVC?
