現在、FOrmsAuthentication.SetAuthCookie を使用して Id を保存しているので、「承認済み」の次のページで使用できます (カスタムの authorizeattribute コントローラーを使用)。しかし、現在、httpcookie を使用してカスタム Cookie を作成することを考えているので、より多くのデータを保存したり、簡単に保守できるデータを保存したりできます。種類の Cookie を使用すると、現在のユーザーが「承認済み」コントローラーにアクセスすることを承認できるかどうか疑問に思っていましたか? もしそうなら、どうすればいいですか。それが理にかなっていることを願っています。
考えを教えてください。
余分なものを別のクッキーに入れてください。また、フォーム認証でユーザーが認証されていないことが示されている場合は、他の Cookie を読み取らないでください。認証 Cookie の目的をオーバーロードする必要はありません (安全にそうするのは自明ではありません)。
のUserData性質がありFormsAuthenticationTicketます。これは文字列であるため、複雑なデータをシリアル化/逆シリアル化できる必要があります。
優れたセキュリティ設計では、この情報を Cookie に保存しないでください。別の方法 (サーバー側) を見つけてください。最近 (10 月)、ASP.Net POET の脆弱性により、フォーム認証チケットが偽造される可能性があることがわかりました。これは、マシンキーが特定され、データがサーバー上で暗号化されるためです。私は知っています-あなたが尋ねたものとは正確ではありませんが、機密データをクライアント側に保存しないことが重要だと思います.