Chương 4: Membership and User Profiling

Để thiết lập bảo vệ, các "khách hàng ảo" đã có một membership system xử lý các hoạt động và cáctính năng sau đây:- Người sử dụng phải có khả năng tạo ra các tài khoản mới độc lập, bằng cách điền vào một mẫuđăng ký trực tuyến.- Người sử dụng phải có khả năng thay đổi thông tin của mình sau này hoặc phục hồi chúng nếuhọ quên.
Nội dung trích xuất từ tài liệu:
Chương 4: Membership and User ProfilingBuilding CMS E-Commerce Project using ASP.NET 3.5 in C# 2008 and SQLServer 2005 Chương 4 Membership and User Profiling ****1/ Thiết kếĐể thiết lập bảo vệ, các khách hàng ảo đã có một membership system xử lý các hoạt động và cáctính năng sau đây: - Người sử dụng phải có khả năng tạo ra các tài khoản mới độc lập, bằng cách điền vào một mẫu đăng ký trực tuyến. - Người sử dụng phải có khả năng thay đổi thông tin của mình sau này hoặc phục hồi chúng nếu họ quên. - Các quản trị viên phải có khả năng cho phép hoặc từ chối quyền truy cập vào phần cụ thể hoặc các trang cá nhân của một số người sử dụng. Các quyền truy cập cần được chỉnh sửa, ngay cả sau khi triển khai các trang web mà không cần sự can thiệp của một người phát triển phức tạp để thay đổi mã hoặc cài đặt. - Các quản trị viên phải có khả năng đình chỉ tạm thời hoặc vĩnh viễn một tài khoản người dùng, chẳng hạn như khi một người dùng không tôn trọng của trang web của chính sách thực hiện. - Các quản trị viên sẽ có thể xem tóm tắt và thống kê dữ liệu như là số tổng số người dùng đăng ký và làm thế nào để nhiều người trong số họ đang trực tuyến tại một thời điểm nào. Các quản trị viên cũng có thể muốn biết cụ thể khi người dùng đăng ký, và thời gian qua mà họ đăng nhập - Một profiling system nên cho phép mỗi người sử dụng đã đăng ký để lưu dữ liệu như các trang web và sở thích chi tiết cá nhân trong một lưu trữ dữ liệu (như là một cơ sở dữ liệu), vì vậy mà các thông tin sẽ được nhớ khi trở lại trang trong tương lai. Các quản trị viên phải có thể xem và chỉnh sửa hồ sơ của mỗi người sử dụng. ASP.NET 2,0 giới thiệu một số lớn các tính năng mới có thể trợ giúp để phát triển thành viên Subsystem.www.bqa.com.vnwww.bsm.com.vn Page 1Building CMS E-Commerce Project using ASP.NET 3.5 in C# 2008 and SQLServer 2005Các cơ chế lưu trữ mật khẩuHiện có ba phương pháp cơ bản để lưu mật khẩu, với mỗi phương pháp cung cấp sự tương thíchkhác nhau giữa bảo mật và sự tiện lợi của việc phát triển, các quản trị viên, và người sử dụng.1. Các phương pháp tiện lợi nhất cho các nhà phát triển lưu trữ mật khẩu và các quản trị viên là lưutrữ các mật khẩu như văn bản thuần tuý trong một trường của cơ sở dữ liệu. Điều này cũng thuậntiện cho người sử dụng bởi vì bạn có thể dễ dàng gửi email mật khẩu của một người sử dụng cho họtrong trường hợp họ quên nó. Tuy nhiên, đây là lựa chọn ít an toàn nhất, vì tất cả các mật khẩu đượclưu trữ như văn bản thuần tuý , nếu cơ sở dữ liệu của bạn đã được công bởi một hacker, anh ta cóthể dễ dàng truy cập vào mật khẩu của tất cả mọi người. Bạn cần phải hết sức cẩn thận về các khóaxuống cơ sở dữ liệu của bạn và đảm bảo rằng bạn của bạn bản đảm an toàn trong sao lưu cơ sở dữliệu.2. Để tăng cường an ninh cho lưu trữ mật khẩu, bạn có thể mã hóa các mật khẩu trước khi lưu trữchúng trong một cơ sở dữ liệu. Có nhiều cách để mã hoá mật khẩu, nhưng phổ biến nhất làsymmetric encryption, Trong đó sử dụng một hệ thống mật khẩu được mã hoá cho tất cả các ngườidừng. Đây là mật mã hai chiều: Bạn có thể mã hóa một mật khẩu và cũng có thể giải mã nó sau này.Điều này cung cấp các phương tiện thuận lợi cho các nhà phát triển, nhưng vẫn còn cung cấp nhiềutiện lợi cho người dùng bởi vì bạn vẫn có thể gửi email cho họ khi họn quên mật khẩu .3. Mức cao nhất về an ninh đòi hỏi một hình thức mã hóa ngăn cản mà các quản trị viên và các nhàphát triển từ được quyền truy cập vào bất kỳ của người sử dụng mật khẩu của bạn. Điều này sửdụng loại mật mã một chiều được gọi là hashing. Bạn luôn luôn có thể mã hóa một mật khẩu bằngcách hashing mật khẩu với một thuật toán nhưng bạn có thể không bao giờ giải mã nó. Vì thế, bạnlưu trữ các phiên bản hashed mật khẩu, và sau này, khi bạn muốn xác minh mật khẩu của một ngườisử dụng khi anh ta đăng nhập lại một lần nữa, bạn có thể thực hiện cùng một thuật toán hashing vớimật khẩu mà anh ta nhập vào. Sau đó bạn có thể so sánh hash này so với hash bạn được lưu trữtrong cơ sở dữ liệu - nếu hai cái trùng nhau bạn biết được người dùng nhập gõ mật khẩu của mìnhchính xác. Điều này cung cấp một số ít tiện lợi cho người phát triển, các quản trị viên, và người dùngbởi vì không thể gửi e-mail khi đã quên mật khẩu. Thay vào đó, nếu một người sử dụng quên mậtkhẩu của mình, sự lựa chọn duy nhất của bạn là thay đổi mật khẩu của người dùng để có một giá trịbiết được, và sau đó lưu hash cho mật khẩu mới.Hashing (phương pháp 3) đã được sử dụng trong ấn bản đầu tiên của cuốn sách này, nhưng nó gâyra rất nhiều rắc rối cho các quản trị viên và thất vọng cho người dùng bởi vì người dùng thường thíchcó thể chọn khôi phục một mất mật khẩu mà không có một yêu cầu mới. Chúng tôi sẽ sử dụng mật ...