J'ai créé un objet Iidentity personnalisé pour stocker des paramètres utilisateur spécifiques pour les utilisateurs connectés. Je me demandais est-il sûr de stocker des données sensibles comme ID utilisateur ou autres dans l'objet? Y a-t-il un risque de sécurité à le faire? Aussi, combien est trop de stocker dans l'objet?Est-ce sûr de stocker dans personnalisé IIdentity
Merci
Alors vous avez créé une classe personnalisée qui a mis en œuvre l'interface IIdentity. Si je comprends bien, vous avez ajouté quelques propriétés personnalisées pour faciliter votre codage.
Cela me semble bien. C'est toujours un objet .Net qui est récupéré après utilisation. Je suppose que vous créez cet objet au début du cycle de vie de la demande et utilisez les propriétés lorsque vous traitez la demande. Vous appelez probablement certaines méthodes pour remplir l'instance de l'objet IIdentity. Ce n'est pas comme si vous persistiez l'objet IIDentity personnalisé après la gestion de la demande, n'est-ce pas?
Ce n'est pas comme si vous envoyiez des données sensibles ou non protégées au client, n'est-ce pas? L'alternative consiste à vider le IIdentity personnalisé et continuer à appeler ces méthodes d'assistance pour obtenir les données lorsque vous en avez besoin.
Effectuez simplement les vérifications typiques pour la sécurité des données. Les données sensibles entrent-elles dans votre journal d'application pendant une exception? Vos données voyagent-elles toujours dans un transport sécurisé? Avez-vous déjà fait confiance à l'utilisateur?
Donc, de votre point de vue, c'est parfaitement bien tant que je ne persiste pas l'objet? – chobo
Bien sûr. Persistez que les données sensibles se trouvent normalement dans une zone sûre. On dirait que vous êtes en train de le retirer et de le coller sur une instance IIdentity pour plus de commodité. Vous ne transmettez pas cette information d'une boîte à l'autre ou d'un bout à l'autre du fil. L'instance IIdentity reste sur cette boîte ASP.Net. Fais le! – a7drew