mvc自定义httpcookie用于授权

时间:2011-06-09 03:15:59

标签: c# asp.net-mvc asp.net-mvc-3 forms-authentication httpcookie

目前,我正在使用FOrmsAuthentication.SetAuthCookie存储Id,因此我可以在下一页“授权”(使用自定义授权属性控制器)上使用它。但我现在正在考虑使用httpcookie制作自定义cookie,这样我就可以存储更多数据,或者可以轻松维护数据。想知道是否有这种cookie可以授权当前用户访问“授权”控制器?如果是这样,我该怎么做呢。 希望这是有道理的。

请让我知道你的想法。

3 个答案:

答案 0 :(得分:1)

只需将您的额外内容放入不同的Cookie中即可。如果表单auth表示用户未经过身份验证,请不要阅读其他Cookie。不需要重载auth cookie的目的(并且安全地执行此操作非常简单)

答案 1 :(得分:1)

UserData有一个FormsAuthenticationTicket属性。它是一个字符串,因此您必须能够序列化/反序列化任何复杂数据。

答案 2 :(得分:1)

良好的安全设计说不要将这些信息存储在cookie中 - 找出另一种方式(服务器端)。最近(octoberish)ASP.Net POET漏洞告诉我们,可以伪造表单授权凭证,因为可以确定机器密钥,因此可以像在服务器上那样对数据进行加密。我知道 - 不完全是你问的问题,但我认为不要在客户端存储敏感数据很重要。