安全.NET MVC C＃，FormsAuthentication

Question

我正在構建我的第一個MVC項目之一。 現在我已經到了我正在開發登錄的階段！

我從來沒有使用FormsAuthentication，我是新來的.. 但如何「愚蠢」 /不安全是它這樣做，如果用戶是有效的：

FormsAuthentication.Initialize(); 
FormsAuthentication.SetAuthCookie("NameOnCookie", false); 

然後我做到這一點，我的控制器的頂部：

[Authorize(Users = "NameOnCookie")] 

這是愚蠢的，還是安全的工作方式？！ 如果這是一種錯誤的工作方式，請給我方向！

如果它不安全，爲什麼？你怎麼破解它？

謝謝！

Answer 1

的AuthorizeAttribute指定哪些用戶被允許打電話給你的行動，所以如果你想專門用準確的用戶名「NameOnCookie」用戶被授權的Users財產，你的解決方案就可以了（假設你只叫SetAuthCookie經過適當的認證後）。