Windows 인증에서 FormsAuthenticationTicket을 사용하는 이유는 무엇입니까?

Question

나는 인증 및 권한 부여에 관해 엄청난 양의 물건을 읽었으며 작동하는 것으로 보이는 코드를 최종적으로 정해 놓았지만 FormsAuthenticationTicket까지는 그 모든 일을 완전히 이해하지 못했습니다.

내가 작업하고있는 MVC 앱은 민감한 데이터를 처리 할 것이므로 인증 및 권한 부여와 관련된 모든 것을 3 회 확인하고 싶습니다.

Windows 인증을 사용하고 있습니다.

<authentication mode="Windows" /> 
<authorization>  
    <deny users="?"/> 
</authorization> 

SQL Server에 추가 사용자 및 사용 권한 정보가있는 테이블 집합이 있습니다.

• 사용자
• 역할
• UsersInRoles 응용 프로그램의 개체 및 관련 권한을 정의
• 다른 테이블. WindowsAuthentication_OnAuthenticate에은 FormsAuthenticationTicket이 왜

  1. 내에서 Global.asax에서

나는 다음과 같은 방법이 그래서 여기

http://www.codeproject.com/Articles/5182/Insight-into-Security-Model-using-Principal-and-Id

protected void WindowsAuthentication_OnAuthenticate(object sender, WindowsAuthenticationEventArgs e) 
{ 
    if (e.Identity == null || !e.Identity.IsAuthenticated) 
    { 
    //Redirect to error or access denied page 
    } 

    string userData = e.Identity.AuthenticationType;   

    var cachedUser = HttpContext.Current.Cache[e.Identity.Name] as User; 

    if (cachedUser == null) 
    { 
    var user = repo.GetUserByFullUserName(e.Identity.Name); 
    HttpContext.Current.Cache.Insert(e.Identity.Name, user, null, DateTime.Now.AddMinutes(2), Cache.NoSlidingExpiration); 
    cachedUser = HttpContext.Current.Cache[e.Identity.Name] as User; 
    } 

    var userIdentity = e.Identity.Name; 

    var formsAuthTicket = new FormsAuthenticationTicket(1, e.Identity.Name, DateTime.Now, DateTime.Now.AddMinutes(2), false, userData); 

    var encryptedTicket = FormsAuthentication.Encrypt(formsAuthTicket); 
    var httpcook = new HttpCookie("authCookie", encryptedTicket); 
    Response.Cookies.Add(httpcook); 
} 



protected void Application_AuthenticateRequest(object sender, EventArgs e) 
{ 
    if (Request.IsAuthenticated) 
    { 
    var httpcook = Context.Request.Cookies["authCookie"]; 
    var formsAuthTicket = FormsAuthentication.Decrypt(httpcook.Value); 

    var cachedUser = GetCachedUser(formsAuthTicket.Name); 
    if (cachedUser == null) 
     { 
     cachedUser = CreateCachedUser(formsAuthTicket.Name); 
     } 

    var genIdentity = new GenericCustomIdentity(cachedUser, Request.IsAuthenticated, formsAuthTicket.UserData); 

    var genPrincipal = new GenericCustomPrincipal(genIdentity, cachedUser); 

    HttpContext.Current.User = genPrincipal; 
    } 
} 

에서 영감을 내 질문 있습니다 방법? WinAuth 메서드에서 Identity 및 Principal 객체를 작성할 수 없습니까?

HttpContext.Current.Cache에 사용자 데이터를 보안 위험에 저장하고 있습니까? 이 메서드는 여러 번 호출되기 때문에 매 요청마다 db에 충돌하는 것을 원하지 않습니다. 더 나은 /보다 안전한 대안이 있습니까?

FormsAuthenticationTickets, Identity 및 Principal을 사용하는 데 익숙하지 않아서 의견이나 제안을 매우 높이 평가할 수 있습니다. 미안, 이건 질문이 아니야.

Answer 1

왜 WindowsAuthentication_OnAuthenticate 방법에은 FormsAuthenticationTicket이? WinAuth 메서드에서 Identity 및 Principal 객체를 작성할 수 없습니까?

ID 및 Principal 개체는 클라이언트의 현재 호출/요청 중에 만 존재합니다. 그들은 HttpContext의 일부이며보다 나은 용어가 부족하여 요청 마지막에이 배치 된 입니다. 일단 인증 된 사람이 다시 연결되면 새로운 요청이 만들어지며 기본적으로 authenitcated되지 않습니다.

FormsAuthenticationTicket (기본값 : By Default) 클라이언트 측의 쿠키를 사용하여 각 후속 요청에 대한 인증 정보를 저장합니다. 이렇게하면 Application_AuthenticateRequest 메서드가 쿠키를 사용하여 요청을 다시 인증 할 수 있습니다.

HttpContext.Current.Cache에 사용자 데이터를 보안 위험 요소로 저장하고 있습니까?이 메서드는 여러 번 호출되기 때문에 매 요청마다 db에 충돌하는 것을 원하지 않습니다. 더 나은 /보다 안전한 대안이 있습니까?

HttpContext.Cache은 메모리에 저장됩니다. 어떤 이유로 서버가 재설정되거나 응용 프로그램 풀이 다시 시작되면 캐시가 사라집니다.

예 보안 위험이 있습니다. 사용자 정보를 저장하는 것은 서버 메모리입니다. 그러나 누군가가 코드를 사용하여 캐시를 사용하는 방법을 알지 못하고 캐시를 읽도록 코드를 업로드 할 수 없으면 위험은 매우 적습니다.

FormsAuthenticationTickets, Identity 및 Principal 사용에 익숙하지 않으므로 의견이나 제안 사항에 크게 감사드립니다. 미안, 이건 질문이 아니야.

에 대한 링크는 어떨까요? IIdentity 유형의 ID. 가장 설명적인 대답은 아니지만 두 인터페이스 모두 매우 기본입니다.