• 使用 Authorize 特性登录

 　　Authorize 是 ASP.NET MVC 自带的默认授权过滤器, 可用来限制用户对操作方法的访问. 

• • 保护控制器操作
    • 　　
  • Authorize 特性在表单身份验证和 AccountController 控制器中的用法
    • 　　ASP.NET MVC 的Internet Application 模板包含一个基本的 AccountController, 它支持 ASP.NET Membership 和 OAuth 验证的账户管理. 

  • Intranet Application 模板中的 Windows Authentication

　　　　　　使用 Windows Authentication 可在 Web 应用程序之外处理 Registration 和 Log On 操作, 该模板不要求提供 AccountController 及其相关模型和视图. 

• • 整个控制器的安全性

　　　　　　从匿名的购物车到要求注册的结算的过度, 可以通过在控制器 CheckoutController 上添加 Authorize 特性来满足结算对授权的要求. 

• • 使用全局授权过滤器保障整个应用程序安全

• 　　要求角色成员使用 Autorize 特性
  • 扩展角色和成员
• 通过 OAuth 和 OpenID 的外部登录
  • 注册外部登录提供器
  • 配置 Open 提供器
  • 配置 OAuth 提供器
  • 外部登录的安全性

• Web 应用程序中的安全向量
  • 　　威胁: 跨站脚本
  • 威胁: 跨站请求伪造
  • 威胁: cookie 盗窃
  • 威胁: 重复提交
  • 威胁: 开放重定向

• 适当的错误报告和堆栈跟踪
  • 　　使用配置转换
  • 在生产环境中使用 Retail 部署配置
  • 使用专门的错误日志系统

• 安全回顾和有用资源

MVC中的成员资格,授权,安全性