1

状態を維持するために、たとえばフォーム認証メカニズムの次に、2 番目のメカニズムが必要なのはなぜですか? セッション トークンが使用される理由については、よく理解しています。フォーム認証メカニズムも理解しています。私が理解していないのは、なぜ2つが必要なのかということです。

formsauth Cookie は一意であるため、これを使用してユーザーの状態を追跡できますよね? これははるかに安全だと思います.状態を追跡し、ユーザーが認証されていることを知っています. 私はよくグーグルで検索しましたが、多くの人は、aspでは、セッションIDと認証トークンをリンクすることをお勧めします...それは実際には、両方に2つのうちの1つを使用するのと同じですよね?

匿名状態が必要な状況として考えられるのは、ユーザーが必ずしもログインする必要のないアプリケーションです。しかし、やはり、匿名認証がありますよね?

4

2 に答える 2

1

ASP の初期の頃、セッションは認証 Cookie としてよく使用されていました。認証 Cookie とセッション Cookie は単純なケースでは重複していますが、それらを分離する必要がある状況は数多くあります。

  • auth は ASP.NET 以外で処理されます
  • セッションは維持されますが、認証の有効期限が切れています (例: Amazon ショッピング カート)
  • セッションは期限切れになる可能性がありますが、認証 Cookie は保持されます (例: ログインを記憶する)
于 2013-09-17T12:46:12.907 に答える