2
NTLM認証を使用するASP.Net MVCアプリケーションを作成しているため、ユーザーはサイトに登録する必要はありません。匿名アクセスが無効になっている場合、User.Identity.Nameをデータベースの所有権キーとして使用できますか。私は何をしたいことはUser.Identity.Nameの強さはどれくらいですか?
from station in db.stations where station.user == username select *;
は、ユーザが誰であるかを確実に知るために、この十分なされているような検索を発行できるようにすることです、または厄介なユーザーが名前の文字列を偽装してアクセス権を得る可能性が何らかの方法があります彼らはしてはならないデータに?
私がWindows認証を使用している場合、クッキーは含まれていないと思われ、Kerbros認証をスプーフィングするのは非常に難しいでしょうか? –
同じ原則が適用されますが、クッキーの代わりに交換しているチケットです。あなたが心配する必要があることの1つは、ユーザーがアプリケーションに入るためにログインしたセッションにアクセスすればよいことです。ユーザーは登録する必要がないため、ADに対してフォーム認証を実行することはできます。 – tvanfosson