J'utilise ASP.NET MVC pour créer une application Web. Dans l'écran principal de l'utilisateur connecté, j'utilise User.Current.Name pour déterminer l'identité de l'utilisateur connecté. Il est mappé à l'ID d'une donnée de modèle de domaine liée à l'utilisateur actuel. Personne d'autre ne devrait pouvoir voir ou éditer cette information (dites son profil).Gestion des droits de sécurité basés sur User.Current.Name dans ASP.NET MVC
J'utilise l'adhésion et les rôles pour garantir que seuls les utilisateurs connectés en particulier le rôle sont en mesure d'invoquer cette action (action Accueil de UserController dans ce cas)
Il va pas HTTPS pour cette application lorsque il est déployé.
Cette approche est-elle considérée comme une approche sûre? Y at-il une chance que l'utilisateur malveillant falsifie son identité pour s'assurer que User.Current.Name renvoie un nom différent? Y a-t-il une configuration supplémentaire requise pour s'assurer que personne ne peut "voler" le cookie d'authentification d'un autre utilisateur?
EDIT: l'authentification par formulaire standard est utilisée.
Vous n'avez pas décrit comment l'utilisateur est authentifié, il est donc presque impossible de répondre si votre approche est sûre. Si, par exemple, vous utilisez un nom d'utilisateur/mot de passe et pas de SSL, c'est loin d'être sûr. –