ASP.NET的基本安全問題

Question

我知道這些都是非常基本的問題。但是，想獲得澄清（或瞭解更多信息）瞭解以下信息：

1. 一旦用戶登錄時，一個cookie（我猜是窗體身份驗證Cookie）都存儲在客戶端和同會通過對於後續請求
2. ASP.NET如何堅持跨請求登錄用戶詳細信息（我知道，它不會每次從數據庫獲取這些詳細信息）。它是否在會話或緩存或任何其他機制。
3. ASP.NET如何知道如何根據相應的用戶詳細信息映射cookie？
4. 在身份驗證階段（假設角色提供程序已設置），ASP.NET是否會拉取角色並保留它們？
5. 想象一下（persistant）cookie的失效日期設置爲7天。第二天，當用戶嘗試登錄時，我在想它將從數據庫中獲取用戶信息。 ASP.NET如何理解它必須獲取相同的用戶詳細信息？

上述任何一項是否改變了新ASP.NET標識（​​.NET 4.5）的成員API。我沒有考慮索賠，外部等身份。

由於

Answer 1

1. 的信息存儲在一個加密的cookie，是的。
2. 用戶詳細信息位於cookie中 - 但是隻有服務器知道密鑰才能加密，因此瀏覽器可以安全地將其發送回去，因此瀏覽器將無法更改用戶詳細信息。
3. 這一切都在cookie中。
4. 在正常形式auth角色不是cookie的一部分，但存儲在其他地方。使用新的SessionAuthenticationModule，角色是Cookie的一部分。
5. 這一切都在cookie中。