使用 ASP.NET 和表单身份验证的 Cryptography.ProtectedData CurrentUser

Question

如果通过 ProtectedData CurrentUser 使用加密，并且我有一个使用 Forms auth 的网站（带有自定义会员模块，不认为这会产生影响），它是否可以在多个不同的 Web 服务器上工作？

我的猜测是，如果当前使用的用户是 User.Identity，就会出现这种情况，因为这将是登录用户，并且在任何 Web 服务器上都相同。

该文档似乎没有提及任何有关与 ASP.NET 一起使用的信息。

Answer 1

“当前用户”将是运行 ASP.NET 应用程序的用户（而不是访问该站点的用户）。通常这是 /ASPNET 用户帐户，但可以更改。您可以使用 WindowsIdentity.GetCurrent() 函数验证这一点。

您的另一个选择是使用 DataProtectionScope.LocalMachine 将其存储在计算机存储中（可以从计算机上的任何帐户访问）。虽然如果您使用非特权帐户（例如 ASPNET 用户），那么这似乎不太安全，但任何人都可以编写应用程序以该用户身份运行并获得对该用户存储的访问权限。