Куки не люблю из принципа
| Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате |
| Форум программистов > Разработка под ASP.NET > Сессия для форума |
| Автор: Alfmaster 23.12.2008, 12:31 |
| Допустим есть форум. Кака лучше всего хранить данные пользователя, чтобы один раз залогинившись он мог заходить под своим профилем всегда? |
| Автор: sysprog 23.12.2008, 18:21 |
| Я бы сделал сессию долгоживущей, и держал бы ее в БД. Куки не люблю из принципа |
| Автор: PashaPash 23.12.2008, 19:23 | ||
| Alfmaster, то, что ты хочешь, описано в любой книге по asp.net, ищи слова Membership, Forms Authentication, Profile. А под сессией в asp.net назвается совсем другая вещь. Добавлено через 44 секунды
Ты просто не умеешь их готовить. |
| Автор: sysprog 24.12.2008, 05:06 | ||
Мое мнение, все то, что передается на клиента, потенциально источник взлома или утечки. Поэтому предпочитаю на клиенте хранить и отдавать ему как можно меньше. Что не делай с информацией которая хранится в куках, она может быть в любом случае использована против клиента, и серверное приложение об этом не узнает. Какие вы можете предложить способы защиты данных в Cookies? |
| Автор: PashaPash 24.12.2008, 10:54 |
| sysprog а чем тебе именно куки не угодили? Содержимое страницы ты все равно клиенту передаешь. И логин/пароль? Куки хоть шифруются/подписываются, а логин и пароль каждый раз ходят в открытом виде. Хочешь секьюрности - делай Windows Auth, TLS и клиентские сертификаты. Вот только для форума такие меры - перебор. А сессия, которую ты предложил использовать, тоже использует куки или изменение url, что еще менее секьюрно. Так что на самом деле ты посоветовал использовать те же куки, но через левый механизм. Так что предлагаю тебе отказатся от использования сессии. И от использования ViewState - он проверяется той же парой ключей что и forms auth/session cookies. И вообще от работы по протоколу http. |
| Автор: sysprog 29.1.2009, 03:38 |
| PashaPash, Спасибо подучился! |
