我正在学习/使用ASP.NET Identity 2(我想具体是2.2,但我现在还没有掌握代码)和我自己的数据库结构,基于"ASP.NET Identity Stripped Bare-MVC Part 1"及其后续文章(第2部分,natch)。为了将它与Web窗体和VB一起使用,我做了一些必要的更改,因为这是我最了解的,如果没有必要,我不想尝试同时学习两件事。我还使用角色来管理对应用程序不同区域的访问。
在查看了登录和在应用程序中来回移动的数据库查询后,似乎角色以及其他声明都存储在身份验证cookie中。
考虑到饼干主要掌握在客户手中,我应该担心吗?声明是否缓存在web服务器上,而不是cookie中?如果它们在饼干里,这是个问题,我该怎么办?
声明等存储在cookie中,但它们是加密的。所以,它们和cookie上的加密一样安全。
这种加密是AES,它没有已知的实际攻击。如果你的机器密钥被盗,那么你就有麻烦了——但麻烦比流氓饼干多得多。