mvc custom httpcookie используется для авторизации

Question

В настоящее время я использую FOrmsAuthentication.SetAuthCookie для хранения идентификатора, чтобы я мог использовать его на следующей странице, которая «Авторизована» (с помощью пользовательского контроллера authorizeattribute). Но в настоящее время я думаю о создании специального cookie-файла с использованием httpcookie, чтобы я мог хранить больше данных или легко обслуживаемых данных. Интересно, смогу ли я получить доступ к «Авторизованным» контроллерам, имея вид cookie? Если да, то как мне это сделать? Надеюсь, что это имело смысл.

Пожалуйста, дайте мне знать ваши мысли.

Answer 1

Существует UserData свойство FormsAuthenticationTicket. Это строка, поэтому вам нужно будет сериализовать / десериализовать любые сложные данные.

Answer 2

Хороший дизайн безопасности говорит, что не храните эту информацию в cookie - найдите другой способ (на стороне сервера). Недавно (октябрьская) уязвимость ASP.Net POET научила нас, что формы аутентификационных билетов могут быть подделаны, потому что можно определить машинный ключ и, следовательно, зашифровать данные, как на сервере. Я знаю - не совсем то, что вы просили, но я думаю, что важно не хранить конфиденциальные данные на стороне клиента.

Answer 3

Просто поместите ваши дополнительные вещи в другой файл cookie. И если форма auth говорит, что пользователь не аутентифицирован, не читайте другие куки. Нет необходимости перегружать назначение куки-файла auth (и нетривиально сделать это безопасно)