Thread.CurrentPrincipal.Identity trong ASP .NET - có an toàn không khi sử dụng

Question

Bên trong trình xử lý sự kiện AuthenticateRequest của tôi, tôi đã đặt hiệu trưởng của Thread. Here'a một phần của IHttpModule tôi:

public void Init(HttpApplication context) 
    { 
     context.AuthenticateRequest += AuthenticateRequest; 
    } 

    private void AuthenticateRequest(object sender, EventArgs e) 
    { 
     var principal = CreatePrincipal(); 
     HttpContext.Current.User = principal; 
    } 

Nhưng tôi có một hội đồng, mà không cần phải truy cập vào System.Web, vì vậy tôi không thể sử dụng HttpContext.Current.User, nhưng tôi cần phải truy cập chính hiện hành. suy nghĩ đầu tiên của tôi là thay đổi phương pháp của tôi để:

System.Threading.Thread.CurrentPrincipal = HttpContext.Current.User = principal; 

và sử dụng Thread.CurrentPrincipal khi cần thiết.

Nhưng theo như tôi nhớ thì không an toàn để lưu trữ các yêu cầu cụ thể trong Thread Local Storage vì nhiều luồng có thể xử lý cùng một yêu cầu, vì vậy tôi đoán nó giống với Thread.CurrentPrincipal. Hay không?

Answer 1

Tôi không đồng ý với câu trả lời của Jeff Moser.

Công cụ ủy quyền .NET chuẩn đều hoạt động bằng cách sử dụng Thread.CurrentPrincipal. ví dụ .:

PrincipalPermissionAttribute 
PrincipalPermission.Demand 

Ngoài ra, nếu bạn cấu hình một NET RoleProvider, nó sẽ thiết lập Thread.CurrentPrincipal cho hiệu trưởng giống như HttpContext.User.

Vì vậy đây là cách tiêu chuẩn để làm điều đó và tôi sẽ làm điều tương tự trong mã xác thực tùy chỉnh của bạn (hoặc thậm chí tốt hơn - triển khai nó dưới dạng RoleProvider tùy chỉnh).

Đối với I/O không đồng bộ, this blog post cho biết rằng Thread.CurrentPrincipal và cài đặt văn hóa được tự động chuyển sang chuỗi mới.

Sử dụng Thread.CurrentPrincipal được cho là an toàn hơn, nếu thư viện của bạn đang sử dụng chủ yếu cho mục đích ủy quyền, bởi vì mã không tin cậy có thể vượt qua trong một hiệu trưởng như một cuộc tranh cãi, trong khi CAS có thể ngăn chặn nó từ thiết Thread.CurrentPrincipal.