目前,我正在使用FOrmsAuthentication.SetAuthCookie存储Id,因此我可以在“授权”(使用自定义授权属性控制器)的下一页上使用它。但我目前正在考虑使用httpcookie制作一个自定义cookie,这样我就可以存储更多的数据或易于维护的数据。想知道是否有这种cookie可以授权当前用户访问“授权”控制器?如果是这样,我该怎么做。 希望有道理。用于授权的mvc自定义httpcookie
请让我知道您的想法。
只要把你的额外的东西在不同的cookie。如果表单身份验证表示用户未通过身份验证,请不要阅读其他Cookie。没有必要超载auth cookie的目的(并非非常安全)
有 FormsAuthenticationTicket的财产。它是一个字符串,所以你必须能够序列化/反序列化任何复杂的数据。
良好的安全设计说,不要将这些信息存储在cookie中 - 通过另一种方式(服务器端)。最近(十月),ASP.Net POET漏洞告诉我们表单验证票据可能伪造,因为机器密钥可能被确定,因此数据将被加密,就像服务器上的数据一样。我知道 - 不完全是你问的,但我认为不要在客户端存储敏感数据很重要。
那么创建formauthticket的其他好处是什么?如果我只需要在formsauth中。只是好奇.. – gdubs 2011-06-09 04:17:34