Безопасно ли хранить только userId с помощью SetAuthCookie () в ASP.NET

Question

Мне было интересно, было ли безопасно хранить только UserId (первичный ключ в базе данных) в cookie с использованием FormsAuthentication.SetAuthCookie () и сохранять его как постоянный cookie?

Я видел многонапример, когда люди сохраняют имена пользователей, но это (userId) может быть одно или двухзначным числом, которое, я думаю, облегчит его получение.Итак, мой вопрос, я должен это сделать?Если нет, то почему бы лучше сохранить имя пользователя?(которое снова может быть коротким именем)

Answer 1

Это небезопасно , если вы сохраняете это значение в незашифрованном виде, а затем считываете это значение из файла cookie и используете его для аутентификации личности пользователя при последующих запросах (использование имени пользователя таким способом также будет небезопасным) ,

Это небезопасно, потому что изменить значение в cookie-файле тривиально, и тогда пользователи могут определить личность другого пользователя.

Однако безопасно, если вы сохраните идентификатор пользователя в FormsAuthenticationTicket.UserData и шифровании билета .

Answer 2

Я не думаю, что люди могли бы многое сделать только с помощью UserID (по звукам) или с помощью первичного ключа в базе данных