Jac*_*yan 5 asp.net security asp.net-mvc forms-authentication
在本文中,我承担了实施第4点的任务:http : //support.microsoft.com/kb/900111
这涉及使用成员资格提供程序在用户登录和注销时向用户服务器端记录添加评论,然后确认当使用cookie进行身份验证时,用户尚未注销。这对我来说很有意义。这种情况开始瓦解的是我们当前不使用成员资格提供程序,因此似乎我要重新实现所有身份验证代码以使用成员资格提供程序。当前,我们在控制器中检查身份验证,并在FormsAuthentication.SetAuthCookie()知道用户存在后进行调用。强迫成员资格提供者从事很多工作。
所有这些工作真的必要吗?我是否可以将自己的Cookie值的键值存储区滚动给登录的用户,并确保在用户单击注销按钮时清除此设置。如果这似乎不安全,是否有一种方法可以实现最小成员资格提供程序,以便在不将所有身份验证代码交给它的情况下进行这些检查?
我想这里的主要问题是,我们很久以前就决定成员资格提供者模型不适合用于锁定和解锁帐户的模型,因此选择不使用它。现在,我们发现MS建议特别提到了成员资格提供程序,并且由于这是安全性,因此我需要确保不按建议使用它不会造成麻烦。
我可以将自己的 cookie 值键值存储滚动到已登录的用户,并确保在用户点击注销按钮时清除此值吗?
是的,你可以这样做。会员提供商保留一小组有关用户的数据(用户名、电子邮件、密码、上次登录、丢失密码问题、丢失密码答案等)。
如果您不想改造会员提供商,我会采取您提到的方法。无论信息是写入 aspnet_Users 表的注释字段还是您自己的表中的位字段,都应该没有任何区别。
您可能还需要考虑将接口设置为您的会员/身份验证代码。然后,您可以在更方便的时候将当前代码替换为会员提供程序实现。
| 归档时间: |
|
| 查看次数: |
2929 次 |
| 最近记录: |