ASP.NET Identity 2 角色似乎在 cookie 中

【问题标题】:ASP.NET Identity 2 roles seem to be in the cookieASP.NET Identity 2 角色似乎在 cookie 中
【发布时间】:2016-07-09 22:00:09
【问题描述】:

我正在学习/使用 ASP.NET Identity 2(特别是 2.2,我认为,但我现在不在 PC 上使用代码)和我自己的数据库结构,基于帖子“ASP.NET Identity Stripped Bare - MVC Part 1”和其后续(part 2,natch)帖子。我已根据需要进行了一些更改以将其与 Web 窗体和 VB 一起使用,因为这是我最了解的,如果没有必要,我不想尝试同时学习两件事。我还使用角色来管理对应用程序不同区域的访问。

查看在登录期间来回移动并在应用程序中移动的数据库查询后,似乎角色以及其他声明都存储在身份验证 cookie 中。

鉴于 cookie 主要掌握在客户手中,我应该担心吗?声明是否缓存在 Web 服务器上,而不是 cookie 中?如果它们在 cookie 中并且这是一个问题,我该怎么办?

【问题讨论】:

  • 您的 cookie 是否包含签名组件(HMAC)?如果是这样,请不要担心,因为如果您的用户更改 cookie 的内容,身份验证将失败。我相信您也可以选择完全加密 cookie。
  • 说实话,我不确定。我正在使用 Microsoft.Owin.Security.Cookies,如果这与它有任何关系的话。根据 NuGet,这是“使应用程序能够使用基于 cookie 的身份验证的中间件,类似于 ASP.NET 的表单身份验证。”

标签: cookies asp.net-identity roles claims


【解决方案1】:

声明等存储在 cookie 中,但已加密。因此,它们与该 cookie 上的加密一样安全。

That encryption is AES,没有已知的实际攻击。如果您的 machineKey 被盗,那么您就有麻烦了 - 但比流氓 cookie 麻烦得多。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2015-03-19
    • 2013-11-10
    • 2022-11-23
    • 1970-01-01
    • 1970-01-01
    • 2019-04-11
    • 2016-10-24
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode