我创建了一个自定义Iidentity对象来存储登录用户的特定用户设置。我想知道在对象中存储像userid或其他id这样的敏感数据是否安全?这样做有安全隐患吗?另外,在对象中存储多少钱?
由于
答案 0 :(得分:1)
因此,您创建了一个实现IIdentity接口的自定义类。据我了解,您添加了几个自定义属性来帮助您进行编码。
这听起来不错。它仍然是一个在使用后被垃圾收集的.Net对象。我猜你在请求生命周期的早期创建了这个对象,并在处理请求时使用这些属性。您可能会调用一些方法来填充IIdentity对象的实例。在处理请求后,这并不是说你是否持久保存了自定义IIDentity对象,对吗?
它不像您将敏感或未受保护的数据发送给客户端,对吧?另一种方法是转储自定义IIdentity,然后继续调用这些辅助方法以在需要时获取数据。
只需执行典型的数据安全检查。在异常期间敏感数据是否会进入您的应用程序日志?您的数据是否始终以安全的传输方式传输?你相信用户输入吗?