Ich habe einen Standard-App MVC und ich Protokollierung nur getestet mit:Ich kann FormsAuthentication.SetAuthCookie verwenden, um sich als meine Benutzer bei meiner App anzumelden. Ist das ein Sicherheitsrisiko?
FormsAuthentication.SetAuthCookie("userToImpersonate", false);
Und das funktioniert - ich anmelden können, ohne ihr Passwort. Sollte das möglich sein? Ich habe Angst zu denken, dass meine Entwickler einen anderen Benutzer mit einer einzigen Codezeile imitieren können, und ich habe mehr Angst zu denken, dass unsere Implementierung von Forms Auth falsch ist. FWIW, hier ist, wie wir normalerweise Auth Benutzer:
WebSecurity.Login(model.Username, model.Password)