在MVC中使用授权实现安全身份验证

Question

我需要在MVC中实现安全系统，它将识别登录的用户遵循正确的身份验证步骤。

我是否可以知道下列哪种认证方案会更好。

1. 表单身份验证将使用cookie，后者将根据cookie获取用户详细信息。在表单认证方面，我们的优势是，有了浏览器中可用的cookie，系统就可以自动登录。
2. 将已登录的用户信息存储在会话中并检查该用户登录。但如果会话到期，我们需要注销系统。假设用户需要工作到一整天，某一时间用户可以离开不进行交互20分钟，系统自动签出用户。
3. 将记录的用户详细信息存储在server会话中，这将导致性能问题。

因此，我需要实现安全和性能导向的方案，它可以安全地维护用户信息，并具有使用cookie自动登录的优点。

主要目标是维护登录的用户，并通过他正在访问的系统进行身份验证，并安全地注销系统。

Answer 1

1选项不安全，因为您可以获取cookie数据并将其插入另一个浏览器以模拟用户。

例如，我在我的网站上使用了2选项，因为它有一个安全的结构。如果浏览器关闭并再次打开，则会话将被销毁，但只要同一浏览器打开以访问您的配置文件，您就可以随时使用它，而不必登录。

3选项有太多的编辑和处理工作，所以我不推荐它。

当您通过创建的管理面板维护数据库中的用户数据时，维护用户就会掉落。因此，您可以在以后安装ACL系统。