我正在编写一个使用LINQ来管理我的用户的自定义成员资格提供程序。我也在创建自己的表来管理用户。如果我想让auth无cookie,我将如何使用FormsAuthentication对象登录用户?
答案 0 :(得分:2)
您真的希望不惜一切代价避免无Cookie会话持久性。这意味着通过URL进行持久化,这非常容易受到会话劫持的影响。请查看OWASP Top 10 for .NET developers part 3: Broken authentication and session management中的示例。
您是否真的相信您有客户验证谁不支持cookie并且您愿意为这些人的安全性做出妥协?
答案 1 :(得分:1)
在常规的asp.net中,IIS通过在URL中插入会话ID来为您管理。
顺便说一下,这不是最安全的方法,因为会话可能被盗。