麻烦大家说一下吧，，，，问一个关于网站后台身份验证的问题，有理有分。。。。

xghabc 2012-10-19 02:53:29

问题一大家一般是采用微软的FORM表单验证比较多，
还是用session进行验证比较多，

问题二，如果用session保存用户名，进验证，session的微软下有三种机制，一般大家会用那一种，那种比较常用，不又易掉失，（三种分别是：Inproc，StateServer，SQLServer模式）

非常感谢，回答的人，

...全文

430 23 打赏收藏转发到动态举报

写回复

用AI写文章

23 条回复

切换为时间正序

请发表友善的回复…

发表回复

patty1991 2012-10-26

打赏
举报

跟人情况吧，在不用判断用户权限的情况用form ，在需要判断用户权限用Session 验证的。

色拉油 2012-10-26

打赏
举报

session

XBodhi. 2012-10-26

打赏
举报

Session 主要用于一个会话周期，默认实效时间为 30 分钟，

所以验证方面推荐用 cookie ，

xghabc 2012-10-26

打赏
举报

再来个人

iawidt 2012-10-24

打赏
举报

我觉得楼主的是在询问用户是否登录的判断，用于判断的信息存储在哪里？
session是以前在做asp的时候初学时常使用的东西，现在的项目里，使用session的很少了，我觉得多数是cookies把用户登录后的信息加密后存到用户的cookies，验证的时候直接提取cookies进行反解就行了，安全问题很低了，session呢是存在服务器里内存里虽然不大吧，但总感觉会点那么点资源，有点别扭！
from表单验证貌似是把信息存储到cookie里的

EvrlLa 2012-10-24

打赏
举报

session 总感觉不太稳定，总觉行变量在里面不会存得有预期那么长。用着用着就会回到注册界面

xghabc 2012-10-24

打赏
举报

大家来说一下

xghabc 2012-10-21

打赏
举报

大家来说一下

小豪 2012-10-21

打赏
举报

比较简单的用session

AsYouLikeIt 2012-10-21

打赏
举报



<!--

            通过 <authentication> 节可以配置 ASP.NET 用来 

            识别进入用户的

            安全身份验证模式。 

        -->

		<authentication mode="Forms">

			<forms name=".ASPXFORUM" loginUrl="Login.aspx" defaultUrl="admin\main.aspx" path="/"/>

		</authentication>

		<authorization>

			<allow users="?"/>

		</authorization>

		<!--

            如果在执行请求的过程中出现未处理的错误，

            则通过 <customErrors> 节可以配置相应的处理步骤。具体说来，

            开发人员通过该节可以配置

            要显示的 html 错误页

            以代替错误堆栈跟踪。

		-->

        <customErrors mode="RemoteOnly" defaultRedirect="~/404.htm">

			<error statusCode="403" redirect="~/403.htm"/>

			<error statusCode="404" redirect="~/404.htm"/>

			<error statusCode="500" redirect="~/500.htm"/>

		</customErrors>

        

		<httpHandlers>

			<add verb="*" path="AuthCodeImage.aspx" type="SuperAuthenticationCode.ServerControl.AuthenticationCodeHandler"/>

		</httpHandlers>

	</system.web>

	<location path="admin">

		<system.web>

			<authorization>

				<deny users="?"/>

			</authorization>

		</system.web>

	</location>

我用的这个

小枪 2012-10-20

打赏
举报

session cookie不太安全

xghabc 2012-10-20

打赏
举报

form验证能用session保存票根吗？

wuyq11 2012-10-20

打赏
举报

session失效都是session丢失
Session是跟浏览器进程标识相关的
持久化保存在服务器端

风一样的大叔 2012-10-20

打赏
举报

我是来学习的

xghabc 2012-10-20

打赏
举报

来个人，讨论吧

xghabc 2012-10-19

打赏
举报

[Quote=引用 7 楼的回复:]

问题一大家一般是采用微软的FORM表单验证比较多，
还是用session进行验证比较多，
---------------------------------
form验证（除非特别项目才用域验证），form验证当然都是session（网站像csdn用cookie）

问题二，如果用session保存用户名，进验证，session的微软下有三种机制，一般大家会用那一种，那种比较常用……
[/Quote]

form验证当然都是session? FORM验证是用COOKIES的吧，生成COOKIES，也就是存票，内面是用户名，怎么会是Session昵？

xuan.ye 2012-10-19

打赏
举报

问题一大家一般是采用微软的FORM表单验证比较多，
还是用session进行验证比较多，
---------------------------------
form验证（除非特别项目才用域验证），form验证当然都是session（网站像csdn用cookie）

问题二，如果用session保存用户名，进验证，session的微软下有三种机制，一般大家会用那一种，那种比较常用，不又易掉失，（三种分别是：Inproc，StateServer，SQLServer模式）
-----------------------------------------------------------------
Inproc这个肯定不能用，StateServer这个是常用的，SQLServer这个特殊需求采用，例如踢掉前一个用户，用户体验要求之类。

xghabc 2012-10-19

打赏
举报

[Quote=引用 4 楼的回复:]

Session验证还可以的，Inproc和StateServer都可以耶～～不过登录成功后主要用cookie来判断用户身份的。
[/Quote]

用session 的话，在自定义验证中，读取seeion的用户名，判断用户名是否为空，判断用户是否登陆。
权限方面，用用户名，读取数据库就可以了

想用FROM验证，只是FROM验证记录用户名，在本地，怕有点不安全。