Отключить безопасность во время разработки среды AspNet MVC

Question

Я ищу лучшие практики в области управления конфигурацией безопасности в веб-приложении во время разработки. У меня 2 ситуации.

1. У меня есть куча функций (скажем, REST API), которые возвращают некоторые данные из базы данных. В процессе производства вызывающему клиенту придется аутентифицировать себя от поставщика AspNetMembership.
2. Существует еще один набор функций, где в аутентифицированной основной информации требуется для извлечения данных.

В процессе разработки разработчику необходимо настроить безопасность и https в IIS, чтобы это произошло. Существуют ли лучшие практики в Asp.Net или на других языках программирования, чтобы отключить безопасность во время разработки, чтобы разработчику не приходилось настраивать безопасность на локальном сервере IIS (а не Cassini), где размещено приложение, а также не предоставлять учетные данные в заголовке, когда отладки.

Answer 1

Лучшая практика заключается не в том, чтобы безопасность была отключена. Если вы используете проверку подлинности с помощью форм, безопасность не требуется настраивать в IIS, только в приложении, а Visual Studio легко позволяет добавить сертификат разработки для включения HTTPS.

Последняя лучшая практика: используйте идентификатор ASP.NET, а не AspNetMembership для своего поставщика удостоверений. На данный момент AspNetMembership является наследием и не соответствует современным передовым методам безопасности.