для временного хранения сеанса можно использовать session а вот если навсегда запомнить (галочка "оставаться на сайте")? можно конечно свою session_id выдумать и хранить в куке а на сервере иметь словарь данных по этой session_id, так и делать? что лучше использовать Session + свой механизм чтобы покрыть оба варианта использования (временное присутствие на сайте с закрытием по таймауту и постоянное присутствие)? или както по другому

skyANAКуки для этого используют, например: FormsAuthentication.SetAuthCookie Method

P.S.: прежде чем задавать новые вопросы, внимательно почитайте документацию.
это случаем не встроенная в mvc авторизация? я просто свою пишу

skyANAFatherSqlпропущено...

это случаем не встроенная в mvc авторизация? я просто свою пишуХорошо, перефразирую с выделением :)

Куки для этого используют , как пример можно посмотреть: FormsAuthentication.SetAuthCookie Method .
куки наверно много для чего используют, пытался читать про этот метод так и не понял как он работает. билет какой-то.

документация просто никакущая.

skyANAFatherSqlпытался читать про этот метод так и не понял как он работает. билет какой-то.Тогда читайте ещё и тут .
на русском нету? там вроде написано что это встроенный механизм и вообще писанины очень много

и как настраивается длина сессии? в конфиге небось? сиди изучай все это

skyANA ASP.NET MVC Урок 6. Авторизация
посмотрел, понял зачем тикет, но возник вопрос - а как этот способ от подмены куки защищен?

skyANAFatherSqlпропущено...

посмотрел, понял зачем тикет, но возник вопрос - а как этот способ от подмены куки защищен?Комментарии к статье почитайте.
там всего пара комментов и нету ничего про это вроде.

а какие проблемы могут быть если хранить сессии пользователей в статическом контейнере? то есть не в таблице бд или каком-нибудь встроенном механизме а вот создать контейнер и с ним работать?

skyANAFatherSqlа какие проблемы могут быть если хранить сессии пользователей в статическом контейнере? то есть не в таблице бд или каком-нибудь встроенном механизме а вот создать контейнер и с ним работать?А идентификатор сессии, где хранится?

В куках! А если куки отключены, то передаётся напрямую в адресной строке.
Так что "от подмены куки" Вы тут не защищаетесь.

P.S.: в комментариях к статье упоминаются HttpOnly куки.
P.P.S.: Вы вообще галочку "оставаться на сайте" хотите реализовать, или уже что-то другое?
1. у меня будет связка куки + ip. А в примере то есть защита?
2. да и галочку и по умолчанию чтобы к примеру полчаса. Ну я вот думаю что галочка это по сути длинный expires вот и все.

AxeleronFatherSql1. у меня будет связка куки + ip. А в примере то есть защита?
Какой смысл Вы видите в этом, если куки хранятся на том компьютере, где создаются?


ну вроде есть

AxeleronFatherSql2. да и галочку и по умолчанию чтобы к примеру полчаса. Ну я вот думаю что галочка это по сути длинный expires вот и все.
Это persistent cookie Вам нужны.
persistent coockie это куки с expires, и чем это отличается от того что я написал?

AxeleronFatherSqlпропущено...

ну вроде есть
За Вас это уже придумали: Cross-site request forgery
прочитал, там вроде параметры через url передаются, а если на сайте они сделаны через post?

а еще для важных операций можно капчу вводить тут уж так не подделать (ну и понятно смс но это вроде платная штука?)

AxeleronFatherSqlпропущено...

прочитал, там вроде параметры через url передаются, а если на сайте они сделаны через post?
Не знаю где Вы такое прочитали, но явно бред прочитали. Или не поняли.
в вики

AxeleronFatherSqlпропущено...

в вики
Ох уж эта вика!
ну и что там не правильно написано или не дописано?
авторАтака осуществляется путем размещения на веб-странице ссылки или скрипта, пытающегося получить доступ к сайту, на котором атакуемый пользователь заведомо (или предположительно) уже аутентифицирован. Например, пользователь Алиса может просматривать форум, где другой пользователь, Мэллори, разместил сообщение. Пусть Мэллори создал тег <img>, в котором в качестве источника картинки указан URL, при переходе по которому выполняется действие на сайте банка Алисы, например:
Мэллори: Привет, Алиса! Посмотри, какой милый котик: <img src=" http://bank.example.com/withdraw?account=Alice&amount=1000000&for=Mallory">
Если банк Алисы хранит ее информацию об аутентификации в куки и если куки еще не истекли, при попытке загрузить картинку браузер Алисы отправит запрос на перевод денег на счет Мэллори и подтвердит аутентификацию при помощи куки. Таким образом, транзакция будет успешно завершена, хотя ее подтверждение произойдет без ведома Алисы.