asp.net中User.Identity中的Ticket.UserData有多安全
在ASP.NET中,User.Identity中的Ticket.UserData是一个字符串,用于存储用户身份验证时的自定义数据。它可以用于存储用户的角色、权限等信息。在ASP.NET中,可以使用FormsAuthenticationTicket类来创建一个身份验证票证,并将其存储在用户的cookie中。
在ASP.NET中,User.Identity.Name属性用于存储用户的用户名,而User.Identity.IsAuthenticated属性用于指示用户是否已经通过身份验证。
使用Ticket.UserData属性存储用户的自定义数据可以方便地在不同的页面和控制器之间共享数据,但是需要注意安全性问题。在使用Ticket.UserData属性时,应该遵循以下原则:
- 不要在Ticket.UserData属性中存储敏感信息,例如密码、密钥等。
- 不要在Ticket.UserData属性中存储用户的个人信息,例如电话号码、电子邮件地址等。
- 不要在Ticket.UserData属性中存储用户的权限信息,应该使用其他方式来存储和管理用户的权限。
- 不要在Ticket.UserData属性中存储大量数据,应该使用其他方式来存储和管理大量数据。
总之,Ticket.UserData属性可以方便地在ASP.NET中存储和管理用户的自定义数据,但是需要注意安全性问题。建议使用其他方式来存储敏感信息和个人信息,并使用其他方式来存储和管理用户的权限和大量数据。
相关·内容
我的网站使用ASP.Net的forms身份验证,我将用户特定的信息插入到身份验证票证/cookie的UserData部分。在身份验证票证内,因此加密方式如下现在我不太担心数据在这一点上会被泄露,因为它是加密的。但我注意到数据是以未加密的形式提供的,如下所示
FormsIdentity fid = User.Ident
浏览 0提问于2009-02-19得票数 4
2回答
集成文档建议,当您从服务器获得授权响应时,您可以创建自己的FormsAuthenticationTicket,然后可以访问在票据中输入的用户UserData,如下所示:{ ...我的问题是,User.Identity将永远是extranet\Anonymous User是否有任何方法阻止匿名用户被用作当前用户。或者,我必
浏览 6提问于2014-04-24得票数 1
回答已采纳
在SetAuthCookie部件中,我们稍微像这样操作用户名FormsAuthentication.SetAuthCookie(userInfo, isPersistent);稍后,我想将名称恢复为正常名称(没有"|“和IP我遇到的问题通常是处理用户名更新不正确,但我需要的<
浏览 18提问于2018-03-07得票数 0
在调试器中,如果深入用户对象,我可以看到当前成员的UserData属性((System.Web.Security.FormsIdentity(User.Identity)).Ticket.UserData中包含"admin“。如果"admin“位于UserData属性中,那么为什么User.IsInRole("admin")不返回true?在我的登录方法中,身份验证票设置如下:
FormsAuthenticat
浏览 3提问于2016-04-11得票数 1
回答已采纳
2回答
这是我的登录代码,问题发生在登录后重定向到“配置文件”的用户身上。lblError.Text = "Invalid username or password"; }下面是配置文件页面上的页面加载代码因此,如果我的用户成功地登录,他们肯定是因为他们点击了配置文件页面,那么为什么他们中的一些人会碰到这个错误。为什么用户为空?
我就是搞不懂,为什么它会影响到一些人,而不是全部。
浏览 1提问于2015-02-11得票数 0
回答已采纳
在调试器中,如果深入用户对象,我可以看到当前成员的UserData属性((System.Web.Security.FormsIdentity)(User.Identity)).Ticket.UserData中包含"admin“。如果"admin“位于UserData属性中,那么User.IsInRole("admin")是否应该返回true?FormsAuthentication.FormsCookiePath);
return Forms
浏览 1提问于2012-08-16得票数 0
我的生产站点(不是我的开发站点)一直有问题。Firefox和Chrome不时都无法登录用户(所有用户都在我们的客户端网络和普通web上)。但奇怪的是,Internet总是正确工作,从未失败过一次(我在浏览器中删除了缓存和cookie,但仍然发生了同样的事情)。{
return System.Web.HttpContext.Current.User.Identity.Is
浏览 4提问于2016-01-12得票数 1
回答已采纳
我有与过期3个月cookie设置表单身份验证工作正常:FormsAuthenticationTicket authTicket =对于自定义角色提供者授权部分,当用户登录isValid()时,我添加了会话变量:但正如我们所知道的,我所要做的就是让系统保存会话“userinfo”与认证cookie一样,但当然不会在cookie中</em
浏览 3提问于2011-05-28得票数 0
回答已采纳
我正在为ASP.Net Core应用程序编写类库。在WebUI包中,您可以直接调用User.Identity来获取当前用户的Name属性,但是当我试图访问类库中的User.Identity时,User被识别,但没有一个名为Identity的属性。因为几乎没有文档,所以我在找出要添加到类库中的包时遇到了问题,所以我可以查询User.Identity中登录用户的名称。
浏览 2提问于2016-02-08得票数 0
回答已采纳
2回答
但是当我将它发布到我们的开发/测试服务器时,它只是重新加载页面。dev服务器正在运行IIS 6。<add key="CookiePath" value="/" /> <add在我在Stack溢出中找到的
浏览 2提问于2016-09-28得票数 1
我知道成员资格提供程序将用户名和过期时间存储在加密的cookie中,然后使用它来验证用户是否仍在登录会话。
是否可以将用户密码也存储在这个加密的cookie中。如果是这样,您将如何访问它的服务器端?我需要服务器端可用的用户用户名和密码,因为我需要调用使用这些相同凭据的web服务。有没有更好的方法来做到这一点?
浏览 0提问于2011-12-27得票数 6
回答已采纳
1回答
多参数路由
、、
我正尝试在我的路径中添加其他参数
routes.MapRoute(,但是当我使用/controller/action/id/recid调用页面时,我在以下函数中的RouteData.Values中没有获得正确的值。但在此之后,函数再次调用自身,RouteData.Values有
浏览 0提问于2010-06-24得票数 1
我有3页.ASPX页面。他们是`Agent.aspx` and 用户输入凭据后,将根据他的角色从Login页面定向到Agent.aspx或Scheduler.aspx在每个页面的Page_Load()中,我再次检查用户的角色。如果条件不匹配,他将被重定向回Login.aspx。当我像这样导航时,会调用Page_Load():
登录->代理,如果我从代理页面注销,则重定向到登录页,但现在,如果我输入代理的URl页面,则Agent.aspx
浏览 1提问于2012-12-05得票数 1
如何将本地AspNetUsers中的数据填充到User.Identity对象中,以便在ApiControllers中使用?我正在开发一个ASP.NET客户端应用程序,它使用IdentityServer3应用程序作为身份验证提供者。我在授权头中发送了一个承载令牌,它似乎运行良好。在我的客户端应用程序中,我使用以下中间件: new IdentityServ
浏览 9提问于2016-04-11得票数 1
回答已采纳
1回答
在ASP.NET MVC 4中使用asp.net标识时,默认使用的是哪种哈希算法。它怎麽工作?有多安全?
浏览 0提问于2016-11-19得票数 1
回答已采纳
请帮帮忙,我不能得到User.Identity.Name,它是空的,但我添加system.security.principle和System.diagonstics.application也。
浏览 0提问于2018-08-05得票数 0
很抱歉,如果这个已经被覆盖了,但我要拔出我的头发。我的站点正在使用表单身份验证,当我在//localhost上测试时,它工作得很好,但是当我发布到web上时,它不能在IE9中工作。我遵循了教程中概述的所有步骤,但在使用IE9或Chrome时,FormsAuthentication.SetAuthCookie永远不会创建cookie。最重要的是,当我使用Firefox时,它可以正常工作。下面是我的web.config中的</e
浏览 0提问于2011-08-07得票数 7
回答已采纳
在ASP.NET (MVC和WebAPI)中,如何使用FormsAuthentication cookie中的数据初始化用户身份对象?我想做的是使用2种类型的身份验证,基于cookie和自定义标题为基础的一个。因为AuthorizeAttribute类只检查User.Identity.IsAuthorized()方法,并且不使用特定于FormsAuthentication的代码,所以这意味着我所要做的就是手动设置User.Id
浏览 2提问于2012-04-27得票数 7
回答已采纳
在我的asp.net网站上。我将一些数据放入窗体身份验证票证的UserData部分。稍后,我可以使用以下命令访问此数据我的问题是-只要身份验证票证有效,这些数据就会始终在FormsIdentity.Ticket.UserData中可用吗?或者,我最终是否需要在身份验证票证中同步FormsIdentity.Ticket.UserData和
浏览 0提问于2009-02-20得票数 2
1回答
用户/会话之间是否共享ASP.NET中的单个对象?如果是的话,是否有安全考虑呢?考虑序列化/反序列化漏洞、线程安全等。
是否使用数据库中对所有用户相同的设置?
浏览 6提问于2022-03-10得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
