这是一个普遍的问题,因为我习惯于将用户对象存储在会话中,并且我正在学习新的身份框架。
我看到很多关于将“声明”作为 cookie 的一部分发送的讨论。这样您就不必重新查找用户信息,这意味着姓名、电子邮件或什至权限等内容是保存的 cookie 中声明区域的一部分。
我所研究的一切都表明,通过 SSL 的 httpOnly 在被黑客入侵方面非常安全。我很犹豫,除了发送用户 ID 之外的任何内容来识别用户,然后在数据库中查找其余内容,以确保至少如果用户被黑客入侵,权限不会被黑客入侵。我是不是太谨慎了?
我还看到有人将 cookie 设置为在 7 天或 1 天等后过期...就此而言,您正在发送声明区域中的权限/角色。如果它们在服务器上发生变化会发生什么。基本上,用户似乎需要登录和注销才能获得新的权限。想知道这是软件 UI 标准的规范期望吗?
提前感谢您的想法:)
安吉拉
【问题讨论】:
标签: asp.net asp.net-identity httpcookie
请原谅我的无知,但我还没有遇到过可以在 cookie 中发送声明的软件。通常,cookie 的问题在于XSS(跨站点脚本)攻击的可能性,因为浏览器被编写为始终发送它们。
现在人们倾向于使用联合身份验证机制,其中身份提供者(登录页面)和服务提供者(应用程序代码)不一定是同一个应用程序,并且并不总是直接连接。这意味着您可以在数据库中查找的用户数据仅存在于 IdP 中,SP 必须处理 IdP 提供的任何内容。
这就是为什么在“声明”中发送每一位信息的原因。这意味着 IdP 声称用户名是 john.smith,但 SP 可能无法通过任何方式对此进行检查。
为了使其工作,IdP 和 SP 应该建立某种形式的信任,通常以预共享签名密钥的形式,允许 IdP 签署令牌(例如 SAML 信封或 JWT),并且 SP 可以验证签名以便能够检查令牌是否被篡改。
通常,此令牌从不用作 cookie;相反,它被添加到Authorization 标头中,通常使用Bearer 方案。
另外,作为旁注 - 当您说您熟悉使用会话时,您必须了解会话跟踪器也是一个 cookie(在 ASP.NET 中)。服务器将有关用户的信息存储在应用程序池的内存缓存中,并且浏览器不断发送 cookie 说“我在这里”。因此,在安全方面,简单地使用 cookie 或使用 cookie + session 之间存在可比性。当然有人可能会争辩说 cookie 可能会泄露信息,但应用程序总是可以标记数据或加密整个 cookie 来否定这个论点。
【讨论】: