我想我在asp.net mvc 4中有一个关于身份验证的简单问题。我不清楚的一件事是我可以将用户数据添加/序列化到授权cookie中。将用户数据放入身份验证cookie与将用户数据添加到会话有什么好处/权衡?我是否甚至需要在身份验证cookie中为用户添加任何独特内容?我应该序列化所有用户数据并将其放入cookie中,而不是使用会话来存储用户数据吗?
我的申请非常简单,没有任何角色。我只是想确保它在必要时可以很好地扩展。
目前,我只是将用户的电子邮件放在身份验证Cookie中,然后将用户对象添加到会话中。我正在使用以下代码来授权用户:
FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
1,
user.Email,
DateTime.Now,
DateTime.Now.AddMinutes(15),
false,
user.Email); // adding the user email in the authTicket
string encTicket = FormsAuthentication.Encrypt(authTicket);
HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName, encTicket);
Session["User"] = user; //adding user data to session
Response.Cookies.Add(faCookie);
return RedirectToAction("Summary", "Account");
我非常感谢任何见解。谢谢!
答案 0 :(得分:12)
ASP.NET会话的问题是默认情况下它存储在内存中。这意味着,如果您在Web场中运行,则需要为会话使用进程外持久性,否则Webfarm中的所有节点都不会具有相同的信息。因此,您需要在SQL服务器中保留会话,这比仅从表单身份验证cookie中读取用户数据要昂贵得多。
关于ASP.NET Session的另一个重要方面是,如果您决定使用它(我个人从不使用它),您必须确保其超时与表单身份验证cookie超时相同,否则您的cookie可能会过期但是用户数据仍然存在于会话中,或者更糟糕的是,会话可能会过期,但表单身份验证cookie仍然有效。
所以在一天结束的时候,如果你决定使用ASP.NET Session比你最初的那样(你只需要在所有请求中保留一些用户信息),就必须解决更复杂的问题。 / p>
答案 1 :(得分:0)
要考虑的另一件事是使用Profile。获取HttpContext.Profile视图http://msdn.microsoft.com/en-us/library/ewfkf772%28v=vs.100%29.aspx