Cookie 中的缓存角色不起作用 - ASP.NET

Question

我在 web.confi 中的 roleManager 看起来像这样。

<roleManager enabled="true" 

    cacheRolesInCookie="true" 
    cookieName=".ASPR0LE3S" 
    cookieTimeout="115" 
    cookieSlidingExpiration="true" 
    cookieProtection="All" 
    createPersistentCookie="false" 
    defaultProvider="CustomizedRoleProvider">               

    <providers>                 
    <add name="CustomizedRoleProvider" 
    type="System.Web.Security.SqlRoleProvider" 
    connectionStringName="MyConn" 
    applicationName="/MyApp"/>              
    </providers>

</roleManager>

我想做的是将我的角色存储在 Cookie 中。该代码应该存储它，但是当我在 FireFox 中查看 cookie 时，没有名为 ASPR 的此类 cookie ......可能是什么问题？我是不是错过了什么。

Answer 1

来自docs：

当 Web.config 文件中的 CacheRolesInCookie 属性设置为 true 时，每个用户的角色信息都存储在 cookie 中。当角色管理检查用户是否属于特定角色时，会在调用角色提供程序以检查数据源中的角色列表之前检查角色 cookie。 cookie 会动态更新以缓存最近验证的角色名称。

在您第一次尝试检查角色之前，角色不会存储在 cookie 中。您似乎只是登录并检查 cookie，而没有执行任何会导致角色提供者在数据源中查找用户角色的操作。

Answer 2

如果您使用的是 .NET 4.5，它将无法工作，必须自己保存。见示例代码here。

Answer 3

首先，在 cookie 上缓存角色并不那么安全，因为有人可能会窃取/操纵该信息并使用它们来更改角色。这是一个关于此的问题：

Can some hacker steal the cookie from a user and login with that name on a web site?

其次，当您将信息存储在 Cookie 上时，这些信息会在每次调用您的站点时来回传输，并增加额外的开销。

如果您的角色太多，浏览器可能无法保存它们，或者其他 cookie 可能无法保存。在某些情况下，我看到浏览器出现奇怪的行为，例如崩溃或白页，因为这个 cookie 达到限制认为

尝试设置尽可能少的 cookie 信息。

更多关于 cookie 限制的信息：
http://www.nczonline.net/blog/2008/05/17/browser-cookie-restrictions/
What are the current cookie limits in modern browsers?

cookie 上的角色将能够在使用登录后查看它们的加密状态。