【发布时间】:2015-04-11 07:14:14
【问题描述】:
.NET 4.5、MVC 5:ClaimsAuthenticationManager、IAuthenticationFilter、OWIN Forms Authentication 和 ClaimsPrincipals 自从我上次接触网站的身份验证功能以来都是新的。我发现在所有说 this 或 that 是正确方法的文档中都缺乏明确性。我什至分不清哪些功能是互斥的。
This document 表示旧的 ASP.NET FormsAuthenticationModule 不支持声明,但新的 OWIN 不支持无 cookie。然而,我感觉 OWIN 旨在成为前进的功能?
- 产品路线图是否说明哪种方法是网络应用程序的前进方向?
- ClaimsAuthenticationManager 是 Web 应用程序的 OWIN 表单身份验证的同义词吗?
- ClaimsAuthenticationManager 和全局 IAuthenticationFilter 是否互斥?
我们将不胜感激,我的大脑在这方面受到了煎熬。
【问题讨论】:
-
好问题!仍然没有这个水果沙拉的食谱。+1
-
恕我直言,我们可以使用 OWIN 启用多种身份验证模式。所有都是基于声明的,我们可以在 OWIN 管道中插入任何身份验证机制作为中间件。但是对于 Web 应用程序,OWIN 作为一个托管平台还不是独立的,有一个名为
Helios的项目可以解决这个问题。我也在等待下一步,因为目前尚不清楚 OWIN 是否是正确的前进方式。 -
我不相信微软会重新支持无 cookie 身份验证会话,因为它们本质上不太安全。 blogs.msdn.com/b/rickandy/archive/2012/03/23/…
-
0leg:您可能必须支持 cookieless 本质上不太安全的说法。通过“固有地”,您是在说“即使假设一个理想的实现”,我想不出一个原因。例如,cookie 与其他参数一样随每个请求一起传输。我能想到的唯一风险是,如果所有关键材料都出现在 URL 对话框的可见区域中,视频监控可能会允许回放。此外,要求使用 cookie 也有其自身的风险。
标签: asp.net asp.net-mvc authentication asp.net-mvc-5 owin