会话服务器端或客户端(可访问与否)?

时间:2016-07-24 23:41:02

标签: asp.net-mvc session client-side server-side

我在Asp.net MVC应用程序的Session中保存了一些基本的用户信息。如何安全地保存UserGroup并访问它以查看用户是管理员还是普通用户?

我在执行任何操作之前,询问用户是否是管理员,直接来自数据库,但我仍然想知道上述方法是否安全。

此外,我正在使用FormsAuthentication,如果这会改变任何内容。

1 个答案:

答案 0 :(得分:1)

使用会话存储userInfo并不是一件冒险事,因为这些信息不会传递到客户端。 UserAccessRights将是您在每个操作中检查的内容,因此最好将其保留在会话中,而不是每次都从DB中检索它。 唯一的问题是,当您的用户权限更新时,您还需要更新会话以反映它。