会话服务器端或客户端(可访问与否)?
Session server side or client side(accessible or not)?
我正在 Asp.net MVC 应用程序的 Session 中保存一些基本用户信息。将用户组保存在那里并访问它以查看用户是管理员还是普通用户有多安全?
我在 运行 任何操作之前,询问用户是否是管理员,直接从数据库,但是,我仍然想知道是否上面的方法是安全的。
此外,我正在使用 FormsAuthentication,如果这有任何改变的话。
使用会话存储 userInfo 并不是一件冒险的事情,因为此信息永远不会传递到客户端。
UserAccessRights 将是您在每次操作时都要检查的内容,因此最好将其保留在会话中而不是每次都从数据库中检索它。
唯一的问题是,当您的用户权限更新时,您还需要更新会话以反映它。
我正在 Asp.net MVC 应用程序的 Session 中保存一些基本用户信息。将用户组保存在那里并访问它以查看用户是管理员还是普通用户有多安全?
我在 运行 任何操作之前,询问用户是否是管理员,直接从数据库,但是,我仍然想知道是否上面的方法是安全的。
此外,我正在使用 FormsAuthentication,如果这有任何改变的话。
使用会话存储 userInfo 并不是一件冒险的事情,因为此信息永远不会传递到客户端。 UserAccessRights 将是您在每次操作时都要检查的内容,因此最好将其保留在会话中而不是每次都从数据库中检索它。 唯一的问题是,当您的用户权限更新时,您还需要更新会话以反映它。