我正在开发一个使用会话、身份验证和授权的ASP.NET代码库.
它们按以下顺序进行初始化:
app.UseSession();
app.UseAuthentication();
app.UseAuthorization();
Middleware Order文档显示app.UseSession()
after其他两个,但文档后来说:
会话中间件(UseSession)建立和维护会话状态.如果应用程序使用会话状态,则为call Session Middleware after Cookie Policy Middleware and before MVC Middleware.
Emphasis mine.个
我们的应用程序使用自定义身份验证码来处理不同的流,其中之一初始化会话内的一些数据.
因此,将app.UseSession()
方法after放置为身份验证/授权中间件会导致应用程序在该流被触发时崩溃.
在其他两个之前离开app.UseSession()
个是安全的吗?