Проверка подлинности ASP.NET

Question

Не могли бы вы подтвердить, что мое решение для проверки подлинности элегантно и безопасно.

Web.config

<authentication mode="Forms"> <forms name=".ASPXFORMSDEMO" loginUrl="logon.aspx" protection="All" path="/" timeout="30" /> </authentication>

<authorization> <deny users ="?" /> <allow users = "*" /> </authorization>

В Logon.aspx.cs У меня есть два метода:

private bool ValidateUser(string userName, string passWord) 
private void LoginButton_Click(Object sender, EventArgs e) 

Внутри ValidateUser метод все, что я делаю, выполнение SQL-запроса чтобы проверить, совпадают ли введенные учетные данные с записями базы данных. Если учетные данные совпадают, я хочу выполнить перенаправление на страницу под названием PrivateRoom.aspx с использованием Response.Redirect("PrivateRoom.aspx", true);

Что вы, ребята, думаете о таком дизайне? Насколько это элегантно и насколько безопасно? На самом деле, как я могу защитить PrivateRoom.aspx от несанкционированного доступа? Скажем, я всегда могу пойти http://mysite.com/PrivateRoom.aspx, и он откроет эту страницу.

Благодарим за ответы!

Answer 1

Небезопасно, потому что вы не используете requireSSL="true", и поэтому печенье может путешествовать без защиты.

относительна: Can some hacker steal the cookie from a user and login with that name on a web site?