我目前正在为我的asp.net网站使用基于会话的身份验证。
1)我想知道基于会话是否安全 来自安全目的的身份验证。
2)当用户数量增长时,是否有太多会话减慢了 性能
3)如果没有什么可以解决,我最终会迁移会话 身份验证到表单身份验证,什么是安全的迁移方式?
到目前为止,我已经提到了这个链接
http://www.asp.net/general/videos/how-do-i-create-a-custom-membership-provider
答案 0 :(得分:4)
我想知道从安全目的进行基于会话的身份验证是否安全。
这将取决于您如何实现它,但如果您在会话中存储当前登录的用户名,那么您应该非常安全。
当用户数量增加时,是否有太多会话会降低性能。
如果您正在使用内存中会话提供程序,这意味着您将在Web服务器的内存中存储有关当前登录用户的所有信息。此外,如果应用程序域回收,您将丢失所有会话信息,因此所有登录的用户将自动注销,这是不好的。这不是可扩展的解决方案。如果您决定走这条路,您可能想要使用进程外会话提供程序。
如果没有任何结果,我最终会将基于会话的身份验证迁移到表单身份验证,什么是安全的迁移方式?
只需删除所有依赖会话的代码,然后使用User.Identity.Name替换它以获取当前登录的用户。以下是forms based authentication的概述。这是在ASP.NET应用程序中处理身份验证的推荐方法。