UserId和UserName

Question

我必须在AdminUsers.aspx页面中使用UserId (管理用户激活和unLocking帐户)。我已经计划将UserId保存为gridview DataKey。但问题是，我不知道userId是否可以保存在视图状态中并向用户公开。UserId有什么安全问题吗？

谢谢

Answer 1

听起来UserID只是你的用户表的主键。因此，我没有看到任何安全问题。内部主键的知识不应该帮助未经授权的访问。

许多数据库使用标识(int)主键。如果系统被设计成可以通过主键造成破坏，那么恶意用户就可以继续尝试数字。

编辑:刚刚意识到这是标记为asp.net-membership的，所以我假设UserID是membership使用的GUID。我仍然不认为这是一个安全问题。它只是一个主键。

Answer 2

如果您使用HttpContext.Current.User.Identity.Name，那么几乎没有安全风险，因为每个用户都有自己的会话。

Answer 3

您可以将UserID以加密格式保存在数据库中。现在，在网格视图中，您可以拥有一个隐藏的标签。在编辑特定行时，您可以访问隐藏的userID并最终将其解密...