我想我在asp.net mvc 4中有一个关于身份验证的简单问题.我不清楚的一件事是我可以将用户数据添加/序列化到授权cookie中.将用户数据放入身份验证cookie与将用户数据添加到会话有什么好处/权衡?我是否甚至需要在身份验证cookie中为用户添加任何独特内容?我应该序列化所有用户数据并将其放入cookie中,而不是使用会话来存储用户数据吗?
我的应用程序非常简单,没有任何角色.我只是想确保它在必要时可以很好地扩展.
现在,我只是将用户的电子邮件放在身份验证cookie中,并将用户对象添加到会话中.我正在使用以下代码来授权用户:
FormsAuthenticationTicket authTicket = new FormsAuthenticationTicket(
1,user.Email,DateTime.Now,DateTime.Now.AddMinutes(15),false,user.Email); // adding the user email in the authTicket
string encTicket = FormsAuthentication.Encrypt(authTicket);
HttpCookie faCookie = new HttpCookie(FormsAuthentication.FormsCookieName,encTicket);
Session["User"] = user; //adding user data to session
Response.Cookies.Add(faCookie);
return RedirectToAction("Summary","Account");
我非常感谢任何见解.谢谢!
解决方法
ASP.NET会话的问题是默认情况下它存储在内存中.这意味着,如果您在Web场中运行,则需要为会话使用进程外持久性,否则Webfarm中的所有节点都不会具有相同的信息.因此,您需要在sql服务器中保留会话,这比仅从表单身份验证cookie中读取用户数据要昂贵得多.
关于ASP.NET Session的另一个重要方面是,如果您决定使用它(我个人从不使用它),您必须确保其超时与表单身份验证cookie超时相同,否则您的cookie可能会过期但用户数据仍然存在于会话中或更糟糕的是,会话可能会过期,但表单身份验证cookie仍然有效.
因此,在一天结束时,如果您决定使用ASP.NET会话,那么您将不得不解决更复杂的问题(这是为了简单地在所有请求上保留一些用户信息).
