J'ai quelques systèmes qui utilise l'authentification externe, l'authentification google. Je ne fais que garder les informations de connexion dans une variable de session et garder une trace de l'utilisateur de cette façon (pas de fournisseur d'adhésion).Nom d'utilisateur externe fourni comme identité?
Je voudrais avoir l'identité de l'utilisateur dans l'objet HttpContext.Current.User. Devrais-je affecter l'utilisateur manuellement à un événement dans Global.asax.cs ou l'identifier automatiquement pendant la session?
Eh bien, le fait d'utiliser le fournisseur d'adhésion ne le rend pas plus sûr. L'authentification intégrée aux formulaires utilise des cookies qui sont vulnérables aux attaques de relecture. –
Oui absolument mais ce n'est pas une raison pour le jeter. L'authentification par formulaires est toujours plus sûre, testée et robuste que n'importe quelle autre solution maison. Le roulement de votre propre approche est vraiment une mauvaise idée. Tirez plutôt parti de FormsAuthentication pour vous protéger contre les attaques de rejeu de session, le détournement de session, etc. La plupart d'entre elles sont bien documentées en termes d'atténuation en s'insérant dans le cadre. La session est beaucoup plus vulnérable aux attaques que l'authentification par formulaires à base de cookies. – TheCodeKing
J'ai ajouté un lien vers un code qui montre comment vous pouvez gérer vous-même le cookie d'authentification si vous le souhaitez. Ce pourrait être plus ce que vous cherchez. – TheCodeKing