在HttpContext.Current中存储敏感数据

时间:2015-01-22 17:56:57

标签: asp.net-mvc security session session-cookies httpcontext

ASP.NET MVC Web应用程序,我希望在用户从一个页面导航到另一个页面时保留一些敏感信息(帐号)。我目前正在使用FormsAuthentication并将其存储在自定义IPrinciple中。我已经加密了会话cookie并将其设置为HttpOnly(不能仅通过客户端脚本访问)。这似乎是一个很好的安全解决方案。

但是,我被告知我们可能因任何原因想要在cookie中出现零敏感信息。因此,我考虑的另一种方法是将敏感信息存储在HttpContext.Current.Items中。这将要求用户为每个请求重新登录,但在这种情况下可以。他们不应该直接来到网站,而是通过其他网站的链接(发布身份验证信息,因此用户永远不会手动登录)。

有没有理由不为此目的使用HttpContext.Current?

0 个答案:

没有答案