超级会员免费看
云环境下ASP.NET Core Web应用的安全认证
1. 云环境特点与认证挑战
在云环境中,无论是公共云还是企业自己的PaaS平台,其运行方式与传统的物理或虚拟机Windows部署有很大不同。应用所依赖的操作系统被视为临时的,会周期性或随机地被销毁。因此,不能假设操作系统具备加入域的能力,在很多情况下,支持云应用的操作系统会被频繁且有意地销毁。例如,一些公司在滚动更新时会销毁并重建所有虚拟机,以减少持续攻击的潜在风险。
由于代码使用的是跨平台的.NET Core,无法依赖仅适用于Windows应用的功能,集成Windows身份验证被排除,需要为云服务寻找其他替代方案。
2. 传统认证方式分析
- Cookie和表单认证
- 表单认证是一种常见的认证方式,应用会展示自定义的用户界面(表单),提示用户输入凭据。凭据直接传输到应用并由应用进行验证。用户成功登录后,会收到一个cookie,在一段时间内标记其为已认证。
- 在PaaS上运行应用时,表单认证本身并没有本质上的好坏之分,但会给应用带来一些额外负担。表单认证要求应用维护和验证凭据,这意味着需要处理机密信息的安全、加密和存储。
| 认证方式 | 优点 | 缺点 |
|---|---|---|
| 表单认证 | 实现相对简单 | 需处理机密信 |
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
