问C#身份验证安全最佳实践

EN

我正在尝试加强我的C#应用程序的身份验证的安全性。我有自己的服务器进行身份验证，并实现了一个服务，该服务可以从动态生成的随机盐中创建新的密码散列，并可以根据保存下来的散列password+salt验证密码。我正在将散列pw+salt保存在服务器端的xml文件中。

Q1。如果只是存储盐，然后让用户在每次启动种子时输入密码，会更安全吗？Q2。我想让用户(在企业局域网内)变得容易，并允许基于他的AD登录用户名的“自动”身份验证。做这件事最好的方法是什么？我是否可以在客户端保存一个令牌或一个证书，该标记或证书每周左右超时？

干杯，拉瑟