ASP.NETでSetAuthCookie（）を使用してuserIdのみを保存するのは安全ですか

Question

FormsIuthentication.SetAuthCookie（）を使用してCookieにUserId（データベースの主キー）のみを保存し、永続的なクッキー？

私はユーザーがユーザー名を保存する例をたくさん見てきましたが、この（userId）は1桁または2桁の数字になる可能性があります。 私はそれをするべきですか？そうでない場合は、単にユーザー名を保存すれば、なぜ、もっとうまくいくのでしょうか？

Answer 1

それは安全でではありませんその値を暗号化せずに保存し、その値をCookieから読み取って、それを使用して後続のリクエストでユーザーのIDを認証する場合は、を使用します（この方法でユーザー名を使用すると安全ではありません）。

Cookieの値を変更するのは簡単ではなく、ユーザーは別のユーザーのIDを含むことができるため、安全ではありません。

ただし、ユーザーIDをFormsAuthenticationTicket.UserDataとencrypt the ticketに保存すると安全です。

Answer 2

私は人々が（それの音による）だけでユーザーIDと多くを行うことができないと思います（これは、再び短い名前かもしれない）、またはデータベース内の主キーで