我在Asp.net MVC应用程序的Session中保存了一些基本的用户信息。如何安全地保存UserGroup并访问它以查看用户是管理员还是普通用户?
我在执行任何操作之前,询问用户是否是管理员,直接来自数据库,但我仍然想知道上述方法是否安全。
此外,我正在使用FormsAuthentication,如果这会改变任何内容。
答案 0 :(得分:1)
使用会话存储userInfo并不是一件冒险事,因为这些信息不会传递到客户端。 UserAccessRights将是您在每个操作中检查的内容,因此最好将其保留在会话中,而不是每次都从DB中检索它。 唯一的问题是,当您的用户权限更新时,您还需要更新会话以反映它。