Najlepsza praktyka w utrzymywaniu identyfikatora użytkownika (MVC)

Question

Używam FormsAuthentication, ale dodałem niestandardowy element MemberShipProvider w celu sprawdzania poprawności względem niestandardowej tabeli użytkowników.

Wszystkie tabele zawierające "dane użytkownika" mają kolumnę idUser, więc muszę zachować identyfikator użytkownika, aby przedstawić użytkownikowi jego dane.

Poprzednio użyłem zmiennej sesji (ASP.NET Webform), ale ponieważ przepisuję webaplikację do MVC, chciałbym zapytać, co jest ogólnie uważane za najlepsze podejście do tego.

Czy zmienna sesji jest nadal najlepszym miejscem do przechowywania identyfikatora użytkownika, czy powinienem dodać niestandardowy "Current.User.Identity", który oprócz nazwy użytkownika posiada także publiczny userID?

Czy powinienem wybrać zupełnie inne podejście?

Answer 1

Miałem to samo pytanie, gdy zaimplementowałem dostawcę niestandardowego członkostwa dla MVC. Skończyło się na zrobieniu dwóch rzeczy. Przechowuję identyfikator użytkownika w polu ProviderUserKey obiektu MembershipUser. Zobacz provideruserkey. Następnie, aby odpowiedzieć na twoje pytanie, tak, stworzyłem niestandardową zasadę z System.Web.Security.IPrincipal, ale później odziedziczyłem po System.Web.Security.RolePrincipal, ponieważ chciałem wspierać Role.

public class MyPrincipal : RolePrincipal 
{ 
    public Guid Id { get; set; } 

    public MyPrincipal(string providerName, IIdentity identity, Guid id) : base(identity) 
    { 
     Id = id; 
    } 
} 

Aktualizacja: Powodem nie chciałem używać sesji w moim przypadku jest wyłączona, ponieważ mam go do aplikacji. Czytałem, że podstawową koncepcją MVC jest oddzielenie problemów i to ściśle modeluje sposób działania sieci, który jest bezpaństwowy. Chociaż nie pamiętam, gdzie teraz to czytam, staram się pamiętać. Jednak pamiętam też czytanie, że jeśli możesz wyeliminować sesję, powinieneś to zrobić. Pozwoli to serwerom IIS obsługiwać jednocześnie żądań z aplikacji, zamiast czekać na zakończenie jednego żądania (i zwolnić sesję użytkownika), zanim następne żądanie będzie mogło skorzystać z sesji i wysłać odpowiedź. Największy wpływ na to jest ładowanie zawartości strony za pomocą Ajax.

Answer 2

Czy Twoje nazwy użytkowników są unikatowe? Jeśli tak, nie musisz utrzymywać UserId, ponieważ możesz po prostu pobrać użytkownika według nazwy użytkownika.

Moje projekty MVC wdrożyły członkostwo w bardzo podobny sposób jak tradycyjna aplikacja Web Forms. Nie sądzę, aby istniały jakiekolwiek powody, aby patrzeć na te dwie różne rzeczy, chyba że próbujesz zbudować bezstanową aplikację typu REST. Jak utrzymałeś swój UserId w Web Forms? Sesja? Następnie użyj sesji w MVC. Nie ma powodu, aby wymyślać koło.

Oczywiście, jeśli masz inne powody do zmiany, istnieje wiele sposobów przechowywania UserId. Możesz przechowywać go w UserData pliku cookie uwierzytelniania. Można również utworzyć własny bilet uwierzytelniania, który używa identyfikatora użytkownika jako klucza, a nie nazwy użytkownika. Można nawet utworzyć niestandardowego zleceniodawcę, aby przechowywać dodatkowe informacje.

Być może chcesz przejrzeć Forms Authentication Configuration and Advanced Topics. W tym artykule opisano przechowywanie dodatkowych danych (UserId) w mandacie uwierzytelniającym i tworzenie niestandardowego zleceniodawcy. Obie metody prawdopodobnie pasują do twoich wymagań.