4

我在哪里存储从 twitter 收到的秘密令牌时遇到了两难境地。

选项:

一种。放入FormsAuthenticationTicket,加密后放入cookie。这足够安全吗?

湾。将其放入 Session 并将 user_name 放入 FormsAuthentciation

FormsAuthentication.SetAuthCookie(String.Concat("<em>", screen_name, "</em>"), true);

这样,我必须首先检查会话中是否存在秘密 cookie。

C。将秘密 cookie 存储在数据库中,并将用户名存储在诸如 b 之类的 cookie 中。

你推荐哪一个,为什么?

非常感谢!

4

2 回答 2

3

由于令牌不会过期并且您的应用程序被视为对该用户帐户授权,因此您需要将令牌存储在比会话持续时间更长的东西中。

在这种情况下,我会将其存储在与用户名关联的数据库中。

于 2009-10-13T23:19:50.687 回答
0

我不喜欢使用令牌存储“用户名”,因为用户名实际上是您通过 xml 获得的屏幕名称,并且可以轻松更改它。

为什么不使用令牌存储“用户 ID”?

于 2009-12-12T21:02:41.713 回答