我有一个服务 (WCF),我的 ASP.NET 页面将与之通信。 WCF 服务在其数据存储(实际上是一个文件)中具有散列密码。 WCF 服务在每次调用时都需要用户名和散列密码。
现在我遇到的问题是,如果我在 ASP.NET 中使用表单身份验证对用户进行身份验证,则在用户通过身份验证后,cookie 将保存在用户的计算机中,但我想保存用户名和哈希密码以便用户可以使用 WCF 服务。应该将这些信息保存在哪里,以确保其安全可靠?
我应该使用会话变量吗?如果我选择该选项,那么我应该从基于表单的身份验证切换并使用会话变量手动进行身份验证或使用基于表单的身份验证进行网页访问并将用户名和哈希密码存储在会话中多变的?各有什么优缺点?
【问题讨论】:
标签: asp.net wcf authentication
您可以将用户名和密码(当然是散列)存储在另一个 cookie 中吗?每次通信时,获取 cookie 并将其与用户名一起发送到 WCF 服务。
在 WCF 服务端,您将拥有用户名和散列的用户名/密码组合。如果您应用相同的散列,您应该得到与存储在 WCF 端相同的字符串,如果它们匹配用户是有效的。
关于您的编辑:
不确定它们之间是否像您建议的那样有很大区别。如果您使用表单身份验证,则会创建一个会话变量,并且(假设您正在使用 cookie)存储一个允许会话变量与用户相关联的 cookie。因此,即使使用表单身份验证,您仍在使用会话变量。
唯一的问题是,如果您想将用户输入的密码的散列版本存储在会话/cookie 中。优点是它被存储在某个地方,这可能会带来安全风险。
一种完全替代的方法是发送一个与用户密码无关的身份验证令牌,而不是在每次请求时发送密码和重新身份验证。请改为验证此令牌。
令牌可以在成功登录时发出,并且应该使用与 WCF 相同的哈希算法。将用户名和令牌作为请求的一部分发送,并验证它是否有效、已授权且仍然是最新的。
【讨论】:
绝对不在客户端(cookies)。使用 cookie 向 ASP 和会话 ID 验证用户身份。这是 ASP.NET 的默认设置。然后将用户名和密码存储在会话中。
考虑使用 Windows 身份验证或其他推荐的机制,因为它们会带来更高的安全性。
@您的编辑:我建议继续使用表单身份验证以及相关控件(或 ASP.NET 中的任何其他预实现方法)。自行重新实现它会无缘无故地付出巨大的努力 - 至少如果您想获得与 .NET 身份验证带来的相同安全性。它真的不仅仅是比较散列密码..!此外,使用会话,因为这是存储任何其他用户相关数据的自然场所。再次 - 会话易于配置且相对安全。
【讨论】: