我有一个困境,在哪里存储我从twitter收到的秘密令牌。
选项:
一个。将它放入FormsAuthenticationTicket,加密并将其放入cookie。这样安全吗?
湾将其放入Session并将user_name放入FormsAuthentciation
FormsAuthentication.SetAuthCookie(String.Concat("<em>", screen_name, "</em>"), true);
这样我必须首先检查会话中是否存在秘密cookie。
℃。将秘密cookie存储在数据库中,并将用户名存储在cookie中,如b。
你推荐哪一个?为什么?
非常感谢!
答案 0 :(得分:3)
由于令牌未过期且您的应用程序被认为是该用户帐户的授权,因此您需要将令牌存储在持续时间超过会话的内容中。
在这种情况下,我会将其存储在与用户名相关联的数据库中。
答案 1 :(得分:0)
我不希望使用令牌存储'username',因为用户名实际上是您通过xml获得的屏幕名称,并且可以轻松更改它。
为什么不用令牌存储'用户ID'?