【讨论】 身份验证 你选择Froms 还是 Session?

搜索了一下以前的帖子,发现说法不一,有的说Froms好有的说Session好?
因为Froms是基于Cookie的,所以有人提到了 Cookie伪造的问题。
也有说Session不稳定的,不过Froms的多种身份判断好象比较复杂?我个人是个人新技术的出现 应该是不至于比以前还烂吧?请教一下大家,在做项目的时候用的是Froms还是Session呢?(PS:对安全要求比较高)

解决方案 »

  1.   

    我一直以来都在用Session,因为比较重要的东西,用Session可以控制有效时间,超过就让用户再次登陆,可以防止别人盗用
      

  2.   

    个人比较喜欢用SESSION这个Forms的安全还有待完善!
      

  3.   

    session 和cookie 感觉 session更安全
      

  4.   

    http://book.99inf.net/Article/netjc/aspnetdev/2005-05-24/20006.htmlhttp://www.webasp.net/article/25/24286_print.htm…………
    无语
      

  5.   

    倾向 session
    session不稳定应该是超时和进程回收机制所至吧
      

  6.   


    session 有时不太稳定,
    还是form 好点.....
      

  7.   

    目前还是SESSION,只是有时比较郁闷
      

  8.   

    用cookie要想避免客户端伪造的方法可以使用SSL。我在项目里面两者都使用了!
    :-)
      

  9.   

    cuike519(marshal(Help you,Help me)) 
    你是怎样使用SSL的?请详细说一下
      

  10.   

    SSL? 我也很想知道,不过一般用不到,不在自己的服务器
      

  11.   

    我一般用Session,不过他们说它太占内存
      

  12.   

    觉得session简单好用,,,,,但是有时莫名其妙就消失了,,,明明时间没到,,,
      

  13.   

    在ASP.NET里,这种选择需要考虑么?ASP.NET提供的认证机制只要在几个地方设置好,内部支持的基于角色的授权机制完全是自动的(譬如在web.config规定某些页面只能被某些角色的用户所访问),省时省力,如果不好好利用,简直是浪费ASP.NET的安全机制>>>这个Forms的安全还有待完善!请举例说明你知道的问题>>>觉得session简单好用你的项目大么?对网页怎么授权?
      

  14.   

    SESSION,因为SESSION一般别人也很难获取的到。
      

  15.   

    Forms 有什么不好的?
      

  16.   

    看对安全性的要求了,还有项目的性质。比如做论坛的话用cookie就很好,保存一年,就不用每次都输入用户名和密码了。论坛的安全性要求不是很高,但是对于安全要求高的,最好还是用Session
      

  17.   

    session很安全,可是太不稳定了。我使用的是cookie
      

  18.   

    >>>这个Forms的安全还有待完善!请举例说明你知道的问题
    ===============================
    http://blog.csdn.net/fancyf/archive/2005/04.aspx这个连接你可以看一下,这是反瑞他经过测试的,要是说这个是正确的,那么在虚拟主机中是不是安全性就有点!
      

  19.   

    1. the two sites are on the same machine, they have the same machine key. The result will be different if he sets different machine keys in web.config2. he is setting the cookie's path to "/", bad idea3. also, not sure what version of .NET he is using, in ASP.NET 1.1, "Autogenerated ASP.NET forms authentication and viewstate keys are now isolated per application by default"see
    http://www.gotdotnet.com/team/changeinfo/Backwards1.0to1.1%5Cdefault.aspx
      

  20.   

    刚刚开始学form验证,感觉不错
    session容易莫名其妙的丢失
      

  21.   

    session也默认也是基于cookie吧?
      

  22.   

    建议session﹋  ~ ~ 
      __▁▂▁___ ﹀ ● 好想和你~﹀~ 
    ﹋ 
    ﹀ ~ 一起看海 
    █▆▅▇▆▅▄▃▂▃▄▅▆▄▅▅▆█ 
    -__~~--___-▔~~__--__--- - ---- 
    -__--~~___-▔_~~_--__--- _-__-----~~__--___-▔_--__--- - ----
      

  23.   

    cookie防伪的方法:
    http://www.stu86.com/bbs/read.php?tid=476&fpage=1
      

  24.   

    是的session是基于cookie的,如果cookie失效 session也一样不能用
      

  25.   

    我用的是 Form 認証理由是:項目大,頁面多,且需要不同的角色進行權限管控如:      一個系統有 N 個 子菜單(Menu)      同時這些 子菜單 又是一個單獨的 系統 ,分別由不同部門的人在使用      它們共用一個登錄頁面及共用 Session ,在登錄頁面進行選擇需要進入的主系統或子系統      條件是:主系統用戶可訪問所有子系統頁面
                  若只選擇登錄子系統,則只允許訪問本 Menu 目錄下的及共用的頁面﹔但不能訪問主系統及其它子系統將子系統頁面分別放入不同的目錄,每個 Menu 目錄下配置一個 web.config 即可實現
      

  26.   

    有一个问题,因为如果使用forms的话,可能判断身份的就是唯一的name ,无法附带其他的信息了。是否要另外在cookie记录呢。
      

  27.   

    你所說的是兩回事:    一是認証,就是防止未被授權的訪問(如匿名)    二是通過認証後的某個用戶的具體權限。── 通常的做法是存入數據庫關於用戶信息的存儲,如“UserID”,“UserDepartment”等,這些常常需要在多個頁面使用且又不是很大的數據,我是用 Session 存的,如果是本頁的變量,我用 ViewState
      

  28.   

    初学者的困惑
    asp.net默认的验证方式应该是向客户端发出cookie,在需要进行身份验证的页面,查看客户浏览器的cookie是否存在。如果存在,此时可以接着向cookie或者session中添加符加信息,并做为角色认定的依据。
    那么,这两种方式到底有什么区别呢?主要是指存在的生命周期,如果设置了同样的生命周期,是否可以保证不管是进行cookie验证还是session验证都可以达到用户身份验证的目的?
    这些问题真是很难明白,我支持gsky的话--期待一个详细的有关用户验证的总结。
      

  29.   

    当然是From如果你有二台WEB服务器,你怎么办?
      

  30.   

    如果你有二台WEB服务器,你怎么办?
    单点登录
      

  31.   

    there are so many articles on the webhttp://www.codeproject.com/aspnet/formsroleauth.aspalso seehttp://www.aspnetworld.com/articles/2004012601.aspx
      

  32.   

    form不会用,有示例吗?马克一下