Мне было поручено реализовать пункт 4 в этой статье: http://support.microsoft.com/kb/900111
Это включает в себя использование поставщика членства для добавления комментария к записям на стороне сервера пользователей при входе и выходе из системы, а затем подтверждение того, что при использовании файла cookie для аутентификации пользователь не вышел из системы. Это имеет смысл для меня. Где это начинает разваливаться, так это в том, что мы в настоящее время не используем поставщика членства, и поэтому кажется, что мне предстоит переопределить весь наш код аутентификации для использования поставщика членства. В настоящее время мы проверяем аутентификацию в контроллере и вызываем FormsAuthentication.SetAuthCookie()
, когда узнаем, что пользователь существует. Было бы много работы, чтобы заставить поставщика членства войти.
Вся эта работа действительно необходима. Могу ли я свернуть свое собственное хранилище значений ключа значений файлов cookie для вошедших в систему пользователей и просто убедиться, что я очищаю это, когда пользователь нажимает кнопку выхода из системы. Если это кажется небезопасным, есть ли способ реализации минимального поставщика членства, чтобы выполнять эти проверки без передачи ему всего кода аутентификации?
Я предполагаю, что моя главная проблема здесь заключается в том, что мы давно решили, что модель поставщика членства не соответствует модели, которую мы используем для блокировки и разблокировки учетных записей, и решили не использовать ее. Теперь мы обнаруживаем, что в рекомендациях MS конкретно упоминается поставщик членства, и, поскольку это безопасность, я должен быть уверен, что неиспользование его, как они рекомендуют, не вызовет проблем.