- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我已经阅读了有关该主题的所有教程和问题,但它们相互矛盾
声明(用户声明和角色声明)被序列化为一个 cookie(以及您通过覆盖原则工厂指定的自定义身份用户属性)但它们不会被查询,它们存储在 cookie 中,这意味着用户拥有的声明越多,服务器和浏览器之间往返的数据就越多
默认情况下,自定义身份用户属性不会序列化,而是从数据库中查询,因此每次您需要该数据时,它都会从数据库中查询 如果您经常查询,每个请求对数据库要做的工作更多
所以哪个更有效,哪个更安全
例如
IsAdmin 应该是一个角色/声明吗?但是如果有人偷了 cookie,不,cookie 已经包含用户 ID/用户名/安全戳,所以即使它是一个属性,被盗 cookie 上的用户 ID 也会查询自定义身份用户属性,或者有什么可以阻止的这个 cookie 被盗后还能用吗?
另一个实例
如果我有用户的 20 个属性(名字、姓氏、地址 1、地址 2、邮政编码,无论情况如何),我是否应该让用户稍等一下,等待一个更大、更慢的 cookie 被发回或者我应该使用自定义身份用户从数据库中完成所有工作
但是,如果我删除或向用户添加声明,如果它没有被查询或者安全标记是否验证此 cookie 仍然有效,它会在下一个请求中更新吗?
原因在 Task AddClaimsAsync
在 efcore 的用户存储中,它只将声明添加到 dbset
我很抱歉,我知道有很多问题要问,但关于此事的资源并不是那么好,阅读身份来源很容易迷失方向
最佳答案
经验法则 - 将频繁添加的项目作为声明,其他所有内容都可以存在于数据库中并按需查询。 IE。地址 1、地址 2 不能在每个请求中都需要,所以将它们保存在数据库中。
另一方面IsAdmin
(无论如何应该是一个角色)我可以想象每个请求都会被检查,所以它应该在cookie中而不必查询db。
如果您害怕您的 cookies 被盗,请不要将它们展示给任何人!设置 SecurityStampValidator
做频繁的检查——比如每 5 分钟一次。这基本上是用数据库中的新信息更新 cookie 并更改 cookie。所以即使cookie被盗,它也只能工作5分钟。
关于asp.net 核心身份声明与属性(效率观点),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/44212394/
你能比较一下属性吗 我想禁用文本框“txtName”。有两种方式 使用javascript,txtName.disabled = true 使用 ASP.NET, 哪种方法更好,为什么? 最佳答案 我
Count 属性 返回一个集合或 Dictionary 对象包含的项目数。只读。 object.Count object 可以是“应用于”列表中列出的任何集合或对
CompareMode 属性 设置并返回在 Dictionary 对象中比较字符串关键字的比较模式。 object.CompareMode[ = compare] 参数
Column 属性 只读属性,返回 TextStream 文件中当前字符位置的列号。 object.Column object 通常是 TextStream 对象的名称。
AvailableSpace 属性 返回指定的驱动器或网络共享对于用户的可用空间大小。 object.AvailableSpace object 应为 Drive 
Attributes 属性 设置或返回文件或文件夹的属性。可读写或只读(与属性有关)。 object.Attributes [= newattributes] 参数 object
AtEndOfStream 属性 如果文件指针位于 TextStream 文件末,则返回 True;否则如果不为只读则返回 False。 object.A
AtEndOfLine 属性 TextStream 文件中,如果文件指针指向行末标记,就返回 True;否则如果不是只读则返回 False。 object.AtEn
RootFolder 属性 返回一个 Folder 对象,表示指定驱动器的根文件夹。只读。 object.RootFolder object 应为 Dr
Path 属性 返回指定文件、文件夹或驱动器的路径。 object.Path object 应为 File、Folder 或 Drive 对象的名称。 说明 对于驱动器,路径不包含根目录。
ParentFolder 属性 返回指定文件或文件夹的父文件夹。只读。 object.ParentFolder object 应为 File 或 Folder 对象的名称。 说明 以下代码
Name 属性 设置或返回指定的文件或文件夹的名称。可读写。 object.Name [= newname] 参数 object 必选项。应为 File 或&
Line 属性 只读属性,返回 TextStream 文件中的当前行号。 object.Line object 通常是 TextStream 对象的名称。 说明 文件刚
Key 属性 在 Dictionary 对象中设置 key。 object.Key(key) = newkey 参数 object 必选项。通常是 Dictionary 
Item 属性 设置或返回 Dictionary 对象中指定的 key 对应的 item,或返回集合中基于指定的 key 的&
IsRootFolder 属性 如果指定的文件夹是根文件夹,返回 True;否则返回 False。 object.IsRootFolder object 应为&n
IsReady 属性 如果指定的驱动器就绪,返回 True;否则返回 False。 object.IsReady object 应为 Drive&nbs
FreeSpace 属性 返回指定的驱动器或网络共享对于用户的可用空间大小。只读。 object.FreeSpace object 应为 Drive 对象的名称。
FileSystem 属性 返回指定的驱动器使用的文件系统的类型。 object.FileSystem object 应为 Drive 对象的名称。 说明 可
Files 属性 返回由指定文件夹中所有 File 对象(包括隐藏文件和系统文件)组成的 Files 集合。 object.Files object&n
我是一名优秀的程序员,十分优秀!