我想知道使用WindowsAuthentication_OnAuthenticate事件创建FormsAutnetication票证以存储用户角色是否存在任何风险或陷阱。我从几个不同的查询中获取这些角色(我没有权限更改数据库模式,所以......)。我不想使用ASP.NET的角色管理器,我担心如果我不使用cookie(至少有一个cookie每30分钟到期一次),那么性能可能会成为问题,因为每次请求都会调用WindowsAuthentication_OnAuthenticateis我会不断地进行这些db调用(更不用说解密cooke并在Application_AuthenticateRequest事件上为我的Context构建自定义主体)。
答案 0 :(得分:3)
是和否。如果它被拒绝是,如果不是没有..从安全的角度来看,这不是一个好主意,虽然快速修补(见POET漏洞),但这已经受到了损害 这是由你决定风险是否值得,通常不是。
为什么不考虑服务器端缓存来存储这些数据而只有缓存是空的然后检查角色?