亲爱的兄弟姐妹,目前小弟想用ASP.NET开发一个小型管理系统,由于刚刚入门学习这个,其中有一点我很是想不通,也无从入手
因为基于HTTP是无状态, 如果设计好了登陆界面,使用者登陆后,通常用什么来识别已登陆的状态?
用Session临时开一个字段保存用户名(和数据库里保存的登陆用户名一样吗)? 那每次用户在浏览器上的操作是否我每次都要去验证这个用户名的合法性?
如果这样的话是否有可能伪造Session字段来访问?
因为第一次接触,公司又催的紧,是在没有办法,希望各位有过这方面实际设计的大虾们给点意见,目前普遍的做法和简易做法有哪些?
非常感谢!!
------解决方案--------------------------------------------------------
用cookie记录已登陆的状态;
每个页面都判断是否已登录。
------解决方案--------------------------------------------------------
到谷哥或度娘上查询
ASP.NET Form认证
就知道了