Мы используем FormsAuthentication с пользовательским MembershipProvider и пользовательским RolePrivoder. Для наших пользователей у нас есть уникальное имя пользователя, ID (автоматический ключ mssql) и GUID (все три уникальных).
Я не уверен, какой из них использовать для проверки подлинности с помощью форм:
FormsAuthentication.GetAuthCookie(userName, false);
Имя пользователя, ID или GUID. Можем ли мы даже сохранить все три информации в виде UserData в FormsTicket.
По умолчанию Asp.net принимает имя пользователя (например, адрес электронной почты). Но я думаю, что UserName немного слаб, если он хранится на клиенте. Автоматический ключ MSSQL также.
Так какой же самый безопасный способ?