Каковы плюсы и минусы использования FormsAuthentication для сохранения cookie входа?

Question

В чем плюсы и минусы использования FormsAuthentication для сохранения файла cookie для входа в систему?

Я вижу, что StackOverflow игнорирует FormsAuthentication и вместо этого реализовал другую стратегию для сохранения файла cookie для входа в систему.

Плюсы

1. Готовая реализация функции постоянного входа в систему.

Минусы

1. Функция входа в систему зависит от machine key, что означаетчто мне нужно убедиться, что ключ компьютера одинаков на всех серверах фермы.
2. Файл cookie содержит зашифрованные проводные значения, которые не имеют смысла хранить в файле cookie.

Answer 1

Другие OOTB-функции проверки подлинности с помощью форм:

• шифрование и расшифровка cookie
• скользящий выдох
• простая интеграция с другими функциями asp.net, такими как поставщик членства (если вы хотите его использовать)

С другой стороны, я не вижу проблемы с машинным ключом : он может быть установлен явно в web.config, поэтому не должно быть проблем с использованием того же ключа при развертывании в ферме серверов.

У Microsoft есть отличная статья , описывающая, что содержит cookie (см. Выдержку ниже). Я действительно не нахожу там никаких значений, которые не имеют смысла:

• Истекает . Это свойство указывает дату и время истечения для печенья. Проверка подлинности по формам только устанавливает это значение, если ваш код указывает на то, что постоянный cookie для проверки подлинности форм должен быть выдано.
• Домен . Это свойство указывает домен, с которым связано. Значением по умолчанию является ноль. о HasKeys. Это свойство указывает, имеет ли cookie подразделы.

• HttpOnly . Это свойство указывает, может ли файл cookie доступ к клиентскому скрипту. В ASP.NET 2.0, это значение всегда установлено в true. Internet Explorer 6 с пакетом обновления 1 поддерживает этот атрибут cookie, который предотвращает на стороне клиента сценарий доступ к куки из свойство document.cookie. Если сделана попытка получить доступ к куки из клиентского скрипта, пустой строка возвращается. Печенье по-прежнему отправляется на сервер всякий раз, когда пользователь просматривает веб-сайт в текущий домен.

  • Примечание. Веб-браузеры, которые не поддерживают атрибут cookie HttpOnly либо игнорировать куки или игнорировать атрибут, который означает, что сеанс по-прежнему подлежит кросс-сайт скриптовые атаки.

• Путь . Это свойство указывает виртуальный путь для файла cookie. значение по умолчанию "/", обозначающее корень каталог.

• Secure . Это свойство указывает, должен ли файл cookie передается по HTTPS-соединению. Для свойства Secure должно быть установлено значение правда, так что куки защищены по шифрованию SSL.
• версия . Это свойство указывает номер версии файла cookie.