那些遇到过的问题

在ASP.Net Identity中声明Cookie安全性

Dev*_*nia 19 c# asp.net asp.net-mvc claims-based-identity owin

我通过网络阅读理解它的方式是声明存储为cookie,现在我将用户的角色添加到声明集合中,因此它将保存到声明Cookie中.现在这很好,因为每次我在ASP MVCController中检查授权属性时,它会省去数据库轮次跳转以检索用户角色.

  • 这样安全吗?
  • 如果被盗,可以解密cookie吗?
  • 有没有替代方法不在Cookie中保存声明并将其保存在服务器上,这是有效的,还是我担心多少?

0le*_*leg 12

Cookie几乎是维护网站身份验证会话的标准方法.除非您使用cookiless机制,它将会话作为查询字符串传输并且显示不太安全.无论您是否将声明存储在cookie中,您仍然依赖cookie安全机制来维护页面命中之间的客户端身份.该机制已存在多年,只要您遵循Microsoft的实施指南,它就被认为是安全的.

假设您使用带有WIF库的.NET 4.5或.NET 4.0,您可以在服务器上缓存声明,而不是在cookie中发送声明.这是一些基本文档.通常建议如果你有很多声明并且cookie太大而无法进行每次点击.

小智 7

正如Oleg所写,标准cookie加密被认为是安全的.

这里的讨论< 服务器端声称使用Owin身份验证进行缓存 >也可能很有趣.

归档时间:

查看次数:

8745 次

最近记录:

8 年,7 月 前
服务器端声称使用Owin身份验证进行缓存 32
更多相关链接
相关归档
推荐的ServiceStack API结构 66
如何以编程方式检查类型是结构还是类? 48
我是否正确编写了我的第一个MSpec规范? 41
WCF Web API和ASP.NET Web API之间有什么区别 40
C#HttpClient远程主机强制关闭现有连接 34
asp.net mvc razor额外的空间 29
如何在ASP.NET MVC中直观地指示当前页面? 17
流式文本输出用于长时间运行的操作? 16
从后面的代码中删除ASP.net中<li>标记的CSS类 9
WebApi OAuth UseOAuthBearerAuthentication给出"Sequence包含多个元素"错误 7
难疑归档
什么是serialVersionUID,我为什么要使用它? 2880
循环内的JavaScript闭包 - 简单实用的例子 2689
如何测试私有函数或具有私有方法,字段或内部类的类? 2593
如何更改一个特定提交的提交作者? 1949
如何在不安装Ms Office的情况下在C#中创建Excel(.XLS和.XLSX)文件? 1804
将JS对象转换为JSON字符串 1199
如何完全卸载Node.js,并从头开始重新安装(Mac OS X) 1196
忽略git项目中的任何"bin"目录 1172
如何从JavaScript对象中删除密钥? 1171
Ukkonen的简明英语后缀树算法 1065