我们开发了一个带有表单cookie授权的MVC 4 Web应用程序。 一个好方法是将会话变量和身份验证cookie一起使用吗? 谢谢。
我知道cookie和会话超时之间是否可能有一些同步。根据我的研究,由于其不同的生命周期,它存在问题。
答案 0 :(得分:1)
.NET 4.5已将Windows Identity Foundation(WIF)作为框架的核心部分,并将基于声明的安全性作为其中不可或缺的一部分。通过基于声明的安全性,可以轻松地将自定义信息作为新声明添加到用户身份中。 Dominick Baier在PluralSight上有一个很好的培训课程叫做Introduction to Identity and Access Control in .NET 4.5。您可以注册free trial来查看此课程。您还可以在Dominick Baier's Blog上获得有关.NET安全性的详细信息。
答案 1 :(得分:0)
好的,这是我的答案。经过一些研究和代码测试,最好的解决方案是始终从auth cookie中读取信息。 由于其不同的生命周期,同时使用Session和cookie auth很难控制。 例如,如果我们有一个有效的cookie auth和一个超时会话,那么在下一个请求中,我们将会有一个没有任何用户信息的续订会话。