1
私は自分のデータベースを使ってASP.NET ID 2(具体的には2.2、私は思っていますが、投稿 'ASP.NET Identity Stripped Bare - MVC Part 1'とそのフォローアップ(part 2、natch)の投稿に基づいて、私はWebフォームとVBでそれを使うのに必要なだけいくつかの変更を加えました。これは私が最もよく知っているものなので、不要な場合はすぐに2つのことを学びたいと思っていません。また、アプリケーションのさまざまな領域へのアクセスを管理する役割も使用しています。ASP.NET ID 2のロールがクッキー内にあるようです
ログイン中に前後に移動してアプリケーションを移動するデータベースクエリを調べると、ロール(およびその他のクレーム)が認証Cookieに格納されているように見えます。
クッキーが主にクライアントの手に入ることを考えれば、私は心配すべきですか?クレームはCookieではなくWebサーバーにキャッシュされていますか?彼らがクッキーに入っていてそれが問題だとすれば、どうすればいいですか?
あなたのCookieには署名コンポーネント(HMAC)が含まれていますか?その場合は、ユーザーがCookieの内容を変更した場合に認証が失敗するため、心配しないでください。私はあなたがオプションで完全にクッキーを完全に暗号化できると信じています。 – Dai
私が正直であれば確かにわかりません。 Microsoft.Owin.Security.Cookiesを使用しています。 NuGetによると、これは、アプリケーションがASP.NETのフォーム認証と同様にCookieベースの認証を使用できるようにするミドルウェアです。 –