我最近开始学习ASP.NET,并且我还学习了有关成员资格和角色管理的知识。它曾经用来管理角色,但我想知道使用会话来识别角色是否是一个好方法?
我的任务网站有2个角色(客户,艺术家),我目前正在使用一个会话来识别谁是谁,并且基于该会话角色,我允许访问某些页面。因此,例如在图库的page_load中,我检查会话角色是否为演出者,并拒绝访问(将其重定向到自己的个人资料,等等)。
我希望有人可以澄清这种方法是否安全(不确定如何措辞),还是应该使用ASP自己的成员资格管理来完成此操作。
谢谢您的时间。
答案 0 :(得分:0)
我以前开发过大型的商业应用程序,我想强调的是,我还使用会话来识别用户类型。 我不仅拥有2个用户类型,而且拥有更多用户类型,以这种方式使用会话的优点是用户类型对于他来说是相同的,并且应该在他整个使用过程中保持不变。
因此,可以将用户角色绑定到会话,因为在整个应用程序中,该角色将一直保持不变,直到注销为止。