100Нужна экспертиза - реализовал собственную авторизацию в ASP.net, хочу понять насколько она безопасна:

1) Пользователь регистрируются в системе, в БД сохраняется логин и хэш пароля;
2) Система генерит рандом значение, сохраняет его в БД и куки браузера (+логин);
3) При переходах по страницам система проверяет что куки соответствует тому что есть в бд по этому логину, если все ок значит доступ предоставляется;
4) Когда пользователь выходит из приложения куки стирается.

Какой уровень безопасности вы хотите обеспечить?

Судя по рандом-значению совершенно непонятного предназначения, пользователь не сможет одновременно залогиниться независимо в разных браузерах или с разных компов. Глупый какой-то способ если честно. Ну вышел он на одном компе, значит с остальных его повыкидывает? Тупо ппц как.

ASP.NET Identity. Если не хотите его использовать, хотя бы ознакомьтесь с исходниками, они есть в открытом доступе.

МВЦРеализуй своего провайдер мембершип, напиши свой фильтр авторизации, если что, остальное от лукавого

Мембершипу место на свалке, на помойке долбанной истории. Хватит его уже советовать.

EDUARD SAPOTSKIА добавить в базу табличку с "рандом-значениями" и привязать ее к табличке с юзерами не судьба? Ах да, забыл, мыж с sql не дружим.

Для какой цели нужны эти перделки? При чём тут SQL? Пятница, перепил с друзьями чтоли?

EDUARD SAPOTSKIКогда пользователи начинают ломиться с запросами по WCF(каждый запрос проходит соответсвенно авторизацию) что бы все это не ложилось и юзеры не испытывали дискомфорта!

Никаких WCF-ов, только прямой коннект к БД, где собственно и находится само приложение

МВЦА что скажите на счет СимплМембершип?

На свалку.

МВЦЗЫ честно говоря не понимаю, когда это уже все остановится и устаканится, когда уже будет набор единых тулов на все случаи жизни?!? Только что-то подтянешь, тут МС новое придумает, старые знания - на мусор...
В корпорации добра такого нет, но я люблю сиШарп, очень. и не хочу его терять...

Это называется прогресс. Только купил новую лошадь, подков накупил целых 2 ящика, а тут бац! На улице уже автомобили тарахтят. Когда уже это кончится?

skyANAдля начала можно и статьи на хабре почитать, там кстати и про кастомизацию ASP.NET Identity есть.

2-ой Identity очень хорошо кастомизируется. Заюзали в новом проекте, красота!

skyANAГы, а если приложение - это всего-лишь морда к API? :) Стоит себе в DMZ, про базу вообще ничего не знает.

а, так ты тоже не знаешь, что всё прекрасно на T-SQL реализуется? сишарпы, плюсы, джаваскрипты, всё на помойку

skyANAНа фига ему какая-то локальная базёнка для Identity?

да можно вообще без базёнки обойтись ))

skyANAда я серъёзно :)

http://www.amazon.com/APIs-Strategy-Guide-Daniel-Jacobson/dp/1449308929

чёт нездоровая тендеция с понятием API. местами очень сильно пахнет дуростью web 2.0.

(из обсуждения с одним клиентом) "..а ещё нам нужен этот, как его, а! АПИ! что мы, отсталые что ли какие?..."