我正在ASP MVC 4.0中开发一个应用程序。我有一个登录页面,其中包含用于输入用户名和密码的文本框。我使用会话变量来存储用户名和密码以进行进一步的身份验证过程。这是一种安全的方式吗?或者是否存在其他安全方法来存储密码以供进一步使用,直到用户注销?
答案 0 :(得分:0)
请不要将用户凭据存储在会话状态中。使用MVC框架对用户进行身份验证后,在会话到期之前不需要用户凭据。如果您需要检查用户权限,请使用内置角色。
Role based authentication in the new MVC 4 Internet template using simplemembership
http://codeutil.wordpress.com/2013/05/14/forms-authentication-in-asp-net-mvc-4/
为什么登录后需要用户密码?