Что лучше использовать для авторизации в asp.net mvc, сессию или cookie?

Question

[Artem]

Всегда интересовал этот вопрос. Какой способ более безопасный или скажем какой из вариантов используете Вы и почему? И да, есть ли готовые библиотеки для авторизации, которые можно поставить через nuget, ибо нет желания реализовывать например это статья на хабре о авторизации через cookie

Answer 1

[Алексей Гагарин]

Конечно есть :D ASP.NET Identity - самая современная.
www.asp.net/identity

Также есть SimpleMembership. По нему вообще полно уроков. В 12-ой студии при создании проекта MVC4 в базовом шаблоне эта система устанавливается по-умолчанию. Т.е. создаются модели, контроллеры, настраивается EF, насколько я помню.
habrahabr.ru/post/192238
blog.osbornm.com/2010/07/21/using-simplemembership...

p.s. поэтому лучше не писать велосипеды, а воспользоваться готовым решением. Но если вас интересует ответ, то на мой взгляд - Cookie конечно, если вы, конечно, не хотите заставить пользователя логиниться каждые N минут, а также после перезапуска браузера.

Ну и самая древняя и тяжёлая - ASP.NET MembershipProvider или как его там, но его нормальные люди сейчас не используют.

Comments

[Artem]

А как быть с тем, что использовать сессию или куки

[Алексей Гагарин]

В Cookie. Сессия очищается после определённого тайм-аута и после перезапуска браузера.

[xBodro]

Сессия так-то тоже через куки работает, поэтому особой разницы нету. Лучше используй ее.

[Алексей Гагарин]

@xBodro Чем лучше? Тем более, что она тоже работает через куки? :) И как быть с галкой "Запомнить меня"?

[Алексей Гагарин]

К тому же сессия, насколько я помню, уникальна в рамках каждого сервера. Т.е. если несколько серверов обрабатывает вашу логику, то изначально сессия будет сохранена только на одном и нужно будет решать проблему синхронизации информации между ними, насколько я знаю.

[xBodro]

@Alexey_Gagarin, "запомнить меня" должна работать через отдельную куку. А лучше тем, что даже если использовать свой велосипед, сессия все равно будет существовать и если туда что-то писать, то можно нарваться на то, что сессия протухла, а пользователь до сих пор залогиненый. Это первое. Второе, на каждый реквест пользователя придется логинить, т.е. ходить в какое-то хранилище кук и определять по нему пользователя. В случае когда у вас один веб сервер, можно хранить в кэше приложения (которое кстати может ребутнуться), а в случае когда у вас ферма - придется либо каждый раз дергать базу, либо городить какое-то отдельное хранилище.