Cookie中的緩存角色不起作用 - ASP.NET

Question

我在web.confi中的roleManager看起來像這樣。

<roleManager enabled="true" 

    cacheRolesInCookie="true" 
    cookieName=".ASPR0LE3S" 
    cookieTimeout="115" 
    cookieSlidingExpiration="true" 
    cookieProtection="All" 
    createPersistentCookie="false" 
    defaultProvider="CustomizedRoleProvider">    

    <providers>     
    <add name="CustomizedRoleProvider" 
    type="System.Web.Security.SqlRoleProvider" 
    connectionStringName="MyConn" 
    applicationName="/MyApp"/>    
    </providers> 

</roleManager> 

我現在要做的就是將我的角色存儲在Cookie中。代碼假設存儲它，但是當我在FireFox中查看cookie時，名稱ASPR中沒有這樣的cookie ......可能是什麼問題？我錯過了什麼。

Answer 1

首先，緩存cookie上的角色並不是那麼安全，因爲某些人可能潛在竊取/操縱該信息並使用它們來更改角色。這裏有一個關於這個問題：當您存儲信息有關Cookie那麼這個信息是來回走在每次調用到您的網站，並添加額外的開銷

Can some hacker steal the cookie from a user and login with that name on a web site?

二。

如果您的角色太多，瀏覽器可能無法保存它們，或者其他cookie可能無法保存。在某些情況下，我從瀏覽器中看到奇怪的行爲，例如崩潰或白頁，因爲這個cookie達到了極限值

嘗試設置儘可能少的cookie信息。

有關Cookie限制一些更多的信息：
http://www.nczonline.net/blog/2008/05/17/browser-cookie-restrictions/
What are the current cookie limits in modern browsers?

在cookie中的角色將能夠查看他們的加密，在使用後已經被記錄在

Answer 2

從docs：

當Web.config文件中的CacheRolesInCookie屬性設置爲true時，角色信息爲每個用戶存儲在一個cookie中。當角色管理檢查用戶是否處於特定角色時，會在調用角色提供程序之前檢查角色Cookie，以檢查數據源處的角色列表。 Cookie會動態更新以緩存最近驗證的角色名稱。

在第一次嘗試檢查角色之前，這些角色將不會存儲在cookie中。您似乎很可能只是登錄並檢查cookie，而未執行任何可能導致角色提供者在數據源中查找用戶角色的操作。

Answer 3

如果你在.NET 4.5上，它不會工作，將不得不自己保存。請參閱示例代碼here。