Asp.net 仅使用会话状态进行身份验证（无表单身份验证cookie）_Asp.net_Asp.net Mvc_Session_Authentication_Forms Authentication

Asp.net 仅使用会话状态进行身份验证（无表单身份验证cookie）

asp.net asp.net-mvc session authentication

Asp.net 仅使用会话状态进行身份验证（无表单身份验证cookie）,asp.net,asp.net-mvc,session,authentication,forms-authentication,Asp.net,Asp.net Mvc,Session,Authentication,Forms Authentication,我有一个关于安全的问题。是否可以通过会话变量实现身份验证和授权，而不使用存储在浏览器中的表单身份验证和表单身份验证cookie 如何在连续请求中发送会话id？它是否也存储在cookie中？使用会话而不是表单身份验证进行身份验证有哪些缺点谢谢嗯，你有两个问题是否可以通过会话变量实现身份验证和授权，而不使用浏览器中存储的表单身份验证和表单身份验证cookie？是的，这是可能的，但我们不应该重新发明轮子，尤其是与安全有关的轮子。强烈建议在可能的情况下使用表单身份验证，除非您有非常有效的理由

我有一个关于安全的问题。是否可以通过会话变量实现身份验证和授权，而不使用存储在浏览器中的表单身份验证和表单身份验证cookie

如何在连续请求中发送会话id？它是否也存储在cookie中？使用会话而不是表单身份验证进行身份验证有哪些缺点

谢谢

嗯，你有两个问题

是否可以通过会话变量实现身份验证和授权，而不使用浏览器中存储的表单身份验证和表单身份验证cookie？

是的，这是可能的，但我们不应该重新发明轮子，尤其是与安全有关的轮子。强烈建议在可能的情况下使用表单身份验证，除非您有非常有效的理由

如何在连续请求中发送会话id？它是否也存储在cookie中？使用会话而不是表单身份验证进行身份验证有哪些缺点？

看看饼干

步骤1：使用internet模板创建新的ASP.NET MVC项目。步骤2：启动它，创建一个新用户并登录。第三步：打开开发者工具检查cookie部分你可以看到两个cookie

__RequestVerificationToken
ASPXAUTH先生

.ASPXAUTH是用于身份验证的cookie，用于执行身份验证。对于以下对服务器的所有请求，服务器将检查此cookie以对用户进行身份验证。

您可以在登录时指定“记住我”，这将更改此cookie的寿命，如果您不勾选，则寿命与当前会话有关，如果您勾选，则取决于服务器端的设置。

您有两个问题

是否可以通过会话变量实现身份验证和授权，而不使用浏览器中存储的表单身份验证和表单身份验证cookie？

是的，这是可能的，但我们不应该重新发明轮子，尤其是与安全有关的轮子。强烈建议在可能的情况下使用表单身份验证，除非您有非常有效的理由

如何在连续请求中发送会话id？它是否也存储在cookie中？使用会话而不是表单身份验证进行身份验证有哪些缺点？

看看饼干

步骤1：使用internet模板创建新的ASP.NET MVC项目。步骤2：启动它，创建一个新用户并登录。第三步：打开开发者工具检查cookie部分你可以看到两个cookie

__RequestVerificationToken
ASPXAUTH先生

.ASPXAUTH是用于身份验证的cookie，用于执行身份验证。对于以下对服务器的所有请求，服务器将检查此cookie以对用户进行身份验证。

您可以在登录时指定“记住我”，这将更改此cookie的寿命，如果您不勾选，则寿命与当前会话有关，如果您勾选，则取决于服务器端的设置。

您有两个问题

是否可以通过会话变量实现身份验证和授权，而不使用浏览器中存储的表单身份验证和表单身份验证cookie？

是的，这是可能的，但我们不应该重新发明轮子，尤其是与安全有关的轮子。强烈建议在可能的情况下使用表单身份验证，除非您有非常有效的理由

如何在连续请求中发送会话id？它是否也存储在cookie中？使用会话而不是表单身份验证进行身份验证有哪些缺点？

看看饼干

步骤1：使用internet模板创建新的ASP.NET MVC项目。步骤2：启动它，创建一个新用户并登录。第三步：打开开发者工具检查cookie部分你可以看到两个cookie

__RequestVerificationToken
ASPXAUTH先生

.ASPXAUTH是用于身份验证的cookie，用于执行身份验证。对于以下对服务器的所有请求，服务器将检查此cookie以对用户进行身份验证。

您可以在登录时指定“记住我”，这将更改此cookie的寿命，如果您不勾选，则寿命与当前会话有关，如果您勾选，则取决于服务器端的设置。

您有两个问题

是否可以通过会话变量实现身份验证和授权，而不使用浏览器中存储的表单身份验证和表单身份验证cookie？

是的，这是可能的，但我们不应该重新发明轮子，尤其是与安全有关的轮子。强烈建议在可能的情况下使用表单身份验证，除非您有非常有效的理由

如何在连续请求中发送会话id？它是否也存储在cookie中？使用会话而不是表单身份验证进行身份验证有哪些缺点？

看看饼干

步骤1：使用internet模板创建新的ASP.NET MVC项目。步骤2：启动它，创建一个新用户并登录。第三步：打开开发者工具检查cookie部分你可以看到两个cookie

__RequestVerificationToken
ASPXAUTH先生

.ASPXAUTH是用于身份验证的cookie，用于执行身份验证。对于以下对服务器的所有请求，服务器将检查此cookie以对用户进行身份验证。

您可以在登录时指定“记住我”，这将更改此cookie的寿命，如果您不勾选此选项，则寿命与当前会话相关，如果您勾选此选项，则取决于服务器端的设置。

从安全角度看，使用用户会话进行身份验证是一个非常糟糕的主意。用户会话由cookie（ASP.NET_SessionId）维护，就像身份验证会话（ASPXAU）一样