1
我正在學習/使用ASP.NET身份2(特別是2.2,我想,但我現在不在PC與代碼)與我自己的數據庫結構,基於帖子'ASP.NET Identity Stripped Bare - MVC Part 1'及其後續(part 2,natch)帖子。我根據需要做了一些更改,將其用於Web窗體和VB,因爲這是我最瞭解的內容,如果沒有必要,我不想一次性學習兩件事。我還使用角色來管理對應用程序不同區域的訪問。ASP.NET身份2角色似乎是在餅乾
在查看在登錄期間來回移動的數據庫查詢以及在應用程序中移動時,看起來角色以及其他聲明都存儲在身份驗證Cookie中。
由於Cookie基本上掌握在客戶手中,我應該擔心嗎?這些聲明是緩存在Web服務器上的,而不是Cookie中的?如果他們在cookie中,這是一個問題,我能做些什麼呢?
您的Cookie是否包含簽名組件(HMAC)?如果是這樣,那麼不要擔心,因爲如果您的用戶更改cookie的內容,身份驗證將失敗。我相信你可以選擇性地完全加密cookie。 – Dai
我不確定,如果我是誠實的。我正在使用Microsoft.Owin.Security.Cookies,如果它有任何影響。據NuGet稱,這是'中間件,它使應用程序能夠使用基於cookie的認證,類似於ASP.NET的表單認證。' –