MVC3与认证

Question

好的，我对网络开发是新手，所以我可能会弄错其中的一些术语。我提前道歉。

我很难理解认证的不同元素。每一种方法似乎都是有人建议反对的，尽管并不总是有明确的理由。我正在为一家能够访问数据库的公司构建一个web应用程序，所以我想确保它是安全的。

所以，有三个地方，我见过常用的存储信息。

1. FormsAuthentication.SetAuthCookie()。这将存储一个将与浏览器一起运行的会话cookie，并且客户端上没有任何敏感内容。但是，它只能存储一个值。这堆栈溢出答案显示了在这里存储多个值的方法，但是给出它的人说不使用它，尽管不是为什么。
2. FormsAuthenticationTicket。我不知道这些信息存储在哪里，但它允许一种简单的方法来存储多个值。根据文档，要保护它，需要调用Encrpty()来存储，而调用解密()来检索。这听起来很浪费，但我知道些什么。
3. 会话“SomeRef”=新的CustomObject()。这个问题中的第二个答案解释了如何做到这一点，但是对它的评论称它很危险，因为它可能被偷。在我看来，这是最好的方法，因为信息仍然存储在服务器上，并且可以存储多个值。

我找不到对这些方法的任何比较，也找不到关于在对用户进行身份验证后存储多个信息的“最佳实践”方法的良好解释。这些信息只是用户的名字和他们的userId。

Answer 1

这里有一些进一步的澄清，以帮助您作出决定。

1. SetAuthCookie可以以一种存储多个值的方式实现。然而，在实践中，您通常无法存储足够的数据来避免数据库查找。最好在请求期间存储用户名(唯一标识符)并加载更多信息。正如你的问题所暗示的，你不应该在上面存储敏感的信息。您应该假设所有在cookie中发送的信息都可以被解密和读取，并且应该采取预防措施，使这些信息不能被恶意使用。所有的会话饼干都可能被偷，我一会儿就会解释原因。
2. FormsAuthenticationTicket是与SetAuthCookie相同的API，但在框架中处于较低的级别。对于SetAuthCookie，加密()和解密()无论如何都会发生(这是默认配置)。这不是浪费，而是使用方法1，因为它更容易。
3. 会话有一些局限性。值得注意的是，默认情况下，它依赖于进程。这意味着当服务器重新启动或涉及多个web服务器时，您的会话将丢失，您必须再次进行身份验证。在使用默认内存会话存储(InProc)时，它是最容易使用的，也是最快的。您可以使用sql存储或专用会话服务器来克服进程依赖。

所有这三种方法都被认为是危险的，因为所有基于cookie的身份验证系统都是危险的:因为cookie的值可以在无线上被监听并被重用来接管会话。这被称为侧顶，它也适用于场景1和2。防止这种情况的方法是实现HTTPS。然后，cookie传输(以及其他一切)在网络级别被加密，不能被窃取。

使用SetAuthCookie和HTTPS

备注为了清楚起见，对这个答案进行了多次编辑。