ASP .NET 中的 Thread.CurrentPrincipal.Identity - 使用安全吗

Question

在我的 AuthenticateRequest 事件处理程序中，我设置了 Thread 的主体。这是我的 IHttpModule 的一部分：

    public void Init(HttpApplication context)
    {
        context.AuthenticateRequest += AuthenticateRequest;
    }

    private void AuthenticateRequest(object sender, EventArgs e)
    {
        var principal = CreatePrincipal();
        HttpContext.Current.User = principal;
    }

但是我有一个程序集，它不应该访问 System.Web，所以我不能使用 HttpContext.Current.User，但我需要访问当前主体。我的第一个想法是将我的方法更改为：

System.Threading.Thread.CurrentPrincipal = HttpContext.Current.User = principal;

并在需要时使用 Thread.CurrentPrincipal。

但据我所知，将请求特定的内容存储在线程本地存储中是不安全的，因为多个线程可以处理同一个请求，所以我想 Thread.CurrentPrincipal 也是如此。还是不行？

Answer 1

我不同意 Jeff Moser 的回答。

标准的 .NET 授权都使用 Thread.CurrentPrincipal 工作。例如：

PrincipalPermissionAttribute
PrincipalPermission.Demand

另外，如果你配置一个 .NET RoleProvider，它会将Thread.CurrentPrincipal 设置为与HttpContext.User 相同的主体。

因此，这是执行此操作的标准方法，我会在您的自定义身份验证代码中执行相同的操作（甚至更好 - 将其实现为自定义 RoleProvider）。

对于异步 I/O，this blog post 声明 Thread.CurrentPrincipal 和区域性设置会自动传递给新线程。

如果您的库将主体用于授权目的，使用Thread.CurrentPrincipal 可以说更安全，因为不受信任的代码可以将主体作为参数传递，而 CAS 可能会阻止它设置Thread.CurrentPrincipal。