目前,我正在使用 FORmsAuthentication.SetAuthCookie 来存储一个 Id,因此我可以在“授权”的下一页上使用它(使用自定义 authorizeattribute 控制器)。但我目前正在考虑使用 httpcookie 制作自定义 cookie,这样我就可以存储更多数据或易于维护的数据。想知道我是否可以授权当前用户访问“授权”控制器?如果是这样,我该怎么做。希望这是有道理的。
请让我知道你的想法。
3 回答
1
把你多余的东西放在不同的饼干里。如果表单身份验证表明用户未通过身份验证,请不要读取其他 cookie。无需重载 auth cookie 的目的(并且安全地这样做并非易事)
于 2011-06-09T03:28:56.687 回答
1
有一个UserData属性FormsAuthenticationTicket。它是一个字符串,因此您必须能够序列化/反序列化任何复杂数据。
于 2011-06-09T03:30:17.030 回答
1
良好的安全设计表明不要将此信息存储在 cookie 中 - 找出另一种方式(服务器端)。最近(10 月),ASP.Net POET 漏洞告诉我们,可以伪造表单身份验证票,因为可以确定机器密钥,因此可以像在服务器上一样加密数据。我知道 - 不完全是你问的,但我认为不在客户端存储敏感数据很重要。
于 2011-06-09T03:54:23.460 回答