我感到非常惊讶:我在同一个网站下创建了2个独立的应用程序(比方说2个不同的客户端)。我有每个web.config单独的登录/密码列表,但我可以将第一个应用程序的HttpContext.Current.User.Identity.Name到第二个应用程序!HttpContext.Current.User.Identity.Name在所有同一网站的应用程序中共享:是不是不安全?
虽然会话变量不在2之间共享,但是这对HttpContext.Current.User.Identity.Name来说还是很不安全?这将意味着客户端2将能够访问客户端1用户浏览到客户端2应用程序而无需向客户端2网站进行认证。
非常感谢。 – user310291