我正在开发ASP.Net MVC 2应用程序作为SalesForce.com中的组合应用程序。对于那些不熟悉SalesForce.com的人来说,它是互联网上的CRM平台。它只是在单独的选项卡中的iframe内部显示的组合应用程序。 因此,当用户登录到salesforce.com时,用户会看到一堆选项卡。当用户点击我的应用程序的选项卡时,我的应用程序可用。然后,SalesForce.com将URL传递给我的应用程序salesforce的会话ID,我可以使用该ID访问salesforce数据,而无需用户登录。 我可能已经失去了很多用户,他们只会说:“嘿,这是salesforce。 com具体问题问他们“。 那么这不是销售队伍的具体情况,我认为。ASP.Net MVC 2身份验证(登录)最佳实践
好进行,人们建议,ASP.Net MVC 2的认证应该在用户的客户机上的浏览器来保留。所以基本上我坚持用户的ID在一个cookie,然后如果我需要关于用户的信息我只是检索。 在我的情况下,我看到两个问题: 1.我经常使用客户端的信息,因此我不想每次都查询salesforce.com。在cookie中序列化和加密用户信息是一个好主意吗?另外,用户信息是一个具有两个对象属性的对象:一个包含一组原语和枚举来描述salesforce用户,另一个包含一系列原语和枚举来描述我的本地应用程序中的用户。 2.我的应用程序从一个iframe中运行,据我所知,在用户的机器上存储cookie会有问题。我不确定这是否属实。另外,当用户注销salesforce时,我的cookie应该从用户的机器上无效/删除。
我在做什么,现在是我存储会话和涉及无饼干所有用户的信息。我无法弄清楚为什么这是一个坏主意。我的意思是我已阅读有关会话劫持和会话到期的信息。
但是就会话劫持而言,如果我将用户的ID加密并存储在cookie中,并将用户的对象保存在缓存中,并且某人盗取了某人获取缓存的会话,并将用户的对象取向正确?
在会话过期的条款,必须有一种方法来消除这种情况,我不知道它究竟是如何做到的,但我知道,它可能在ASP.Net来完成。可能坚持SQL服务器。
在当前背景下盘算如何进行身份验证的最佳实践在ASP.net MVC 2的任何帮助(请记住我的应用程序是一个iframe)将是非常赞赏。
问候, 科斯
听起来不错,我认为多数民众赞成在如何asp.net角色提供者照顾。 – Sevki 2010-11-11 07:45:18