目前,我正在使用FOrmsAuthentication.SetAuthCookie存儲Id,因此我可以在「授權」(使用自定義授權屬性控制器)的下一頁上使用它。但我目前正在考慮使用httpcookie製作一個自定義cookie,這樣我就可以存儲更多的數據或易於維護的數據。想知道是否有這種cookie可以授權當前用戶訪問「授權」控制器?如果是這樣,我該怎麼做。 希望有道理。用於授權的mvc自定義httpcookie
請讓我知道您的想法。
只要把你的額外的東西在不同的cookie。如果表單身份驗證表示用戶未通過身份驗證,請不要閱讀其他Cookie。沒有必要超載auth cookie的目的(並非非常安全)
有 FormsAuthenticationTicket的財產。它是一個字符串,所以你必須能夠序列化/反序列化任何複雜的數據。
良好的安全設計說,不要將這些信息存儲在cookie中 - 通過另一種方式(服務器端)。最近(十月),ASP.Net POET漏洞告訴我們表單驗證票據可能僞造,因爲機器密鑰可能被確定,因此數據將被加密,就像服務器上的數據一樣。我知道 - 不完全是你問的,但我認爲不要在客戶端存儲敏感數據很重要。
那麼創建formauthticket的其他好處是什麼?如果我只需要在formsauth中。只是好奇.. – gdubs 2011-06-09 04:17:34