Ich lerne/benutze ASP.NET Identity 2 (speziell 2.2, denke ich, aber ich bin jetzt nicht am PC mit dem Code) mit meiner eigenen Datenbank Struktur, basierend auf dem Post 'ASP.NET Identity Stripped Bare - MVC Part 1' und seinem Follow-up (part 2, natch) Beitrag. Ich habe ein paar Änderungen nach Bedarf vorgenommen, um es mit Web Forms und VB zu verwenden, da dies das ist, was ich am besten kann, und ich möchte nicht versuchen, zwei Dinge auf einmal zu lernen, wenn es unnötig ist. Ich verwende auch Rollen, um den Zugriff auf verschiedene Bereiche der Anwendung zu verwalten.ASP.NET Identity 2 Rollen scheinen im Cookie zu sein
Nachdem Sie sich die Datenbankabfragen angesehen haben, die während der Anmeldung und beim Verschieben der Anwendung hin- und hergehen, werden die Rollen - wie auch die anderen Ansprüche - im Authentifizierungscookie gespeichert.
Sollte ich mir Sorgen machen, da der Cookie größtenteils in den Händen des Kunden liegt? Werden die Ansprüche auf dem Webserver zwischengespeichert, nicht im Cookie? Wenn sie im Cookie sind und das ist ein Problem, was kann ich dagegen tun?
Enthält Ihr Cookie eine Signaturkomponente (HMAC)? In diesem Fall sollten Sie sich keine Sorgen machen, da die Authentifizierung fehlschlägt, wenn Ihre Nutzer den Inhalt des Cookies ändern. Ich glaube, Sie können den Cookie optional auch vollständig verschlüsseln. – Dai
Ich weiß es nicht genau, wenn ich ehrlich bin. Ich verwende Microsoft.Owin.Security.Cookies, wenn das irgendeinen Einfluss darauf hat. Laut NuGet handelt es sich um Middleware, die es einer Anwendung ermöglicht, eine Cookie-basierte Authentifizierung zu verwenden, ähnlich der ASP.NET-Formularauthentifizierung. –