Procedura consigliata per mantenere un ID utente (MVC)

Question

Uso FormsAuthentication, ma ho aggiunto un membro MemberShipProvider personalizzato per la convalida con una tabella utente personalizzata.

Tutte le tabelle contenenti "dati utente" hanno una colonna idUser, quindi ho bisogno di mantenere l'id utente per presentare all'utente i suoi dati.

In precedenza ho utilizzato una variabile di sessione (ASP.NET Webform), ma mentre sto riscrivendo l'applicazione web su MVC, vorrei chiedere che cosa è generalmente considerato l'approccio migliore per questo.

È la variabile di sessione ancora il posto migliore per contenere l'idUser, o dovrei aggiungere un "Current.User.Identity" personalizzato che oltre al nome utente contiene anche un ID utente pubblico ??

O dovrei scegliere un approccio completamente diverso?

Answer 1

Ho avuto la stessa domanda quando ho implementato un provider di appartenenza personalizzato per MVC. Ho finito per fare due cose. Memorizzo l'ID dell'utente nel campo ProviderUserKey dell'oggetto MembershipUser. Vedi provideruserkey. Quindi per rispondere alla tua domanda, sì ho creato un principal personalizzato da System.Web.Security.IPrincipal, sebbene in seguito abbia ereditato da System.Web.Security.RolePrincipal invece che volevo il supporto per i ruoli.

public class MyPrincipal : RolePrincipal 
{ 
    public Guid Id { get; set; } 

    public MyPrincipal(string providerName, IIdentity identity, Guid id) : base(identity) 
    { 
     Id = id; 
    } 
} 

Update: Il motivo non ho voluto usare la sessione nel mio caso è perché ho disabilitato per l'applicazione. Ho letto che il concetto alla base di MVC è la separazione delle preoccupazioni, e questo è strettamente legato al modo in cui funziona il web, che è senza stato. Anche se non riesco a ricordare dove leggo ora che cerco di ricordare. Tuttavia ricordo anche di aver letto che se riesci ad eliminare la sessione dovresti farlo. Permetterà a IIS di servire richieste simultanee dalla tua app piuttosto che dover aspettare che una richiesta finisca (e rilasciare la sessione dell'utente) prima che la richiesta successiva possa usare la sessione e inviare la sua risposta. Il più grande impatto è il caricamento del contenuto della pagina usando Ajax.

Answer 2

I nomi utente sono unici? In tal caso, non è necessario mantenere l'ID utente poiché è possibile recuperare semplicemente un utente tramite nome utente.

I miei progetti MVC hanno implementato l'appartenenza in un modo molto simile a un'applicazione Web Form tradizionale. Non penso ci sia alcun motivo per guardare i due in modo diverso a meno che non si stia tentando di creare un'applicazione di tipo REST stateless. Come hai mantenuto il tuo UserId nei Web Form? Sessione? Quindi utilizzare la sessione in MVC. Non c'è motivo di reinventare la ruota.

Ovviamente se si hanno altri motivi per cambiare ci sono molti modi per memorizzare l'ID utente. È possibile memorizzarlo nei Dati utente del cookie di autenticazione. È anche possibile creare il proprio ticket di autenticazione che utilizza UserId come chiave piuttosto che come nome utente. Potresti anche creare un preside personalizzato per memorizzare alcune informazioni aggiuntive.

Si consiglia di rivedere Forms Authentication Configuration and Advanced Topics. Questo articolo tratta la memorizzazione di dati aggiuntivi (UserId) nel ticket di autenticazione e la creazione di un principal personalizzato. Entrambi i metodi sarebbero adatti alle tue esigenze.