syn*_*pis 5 c# security encryption cookies asp.net-mvc-2
我想知道使用FormsAuthentication.SetAuthCookie()在cookie中仅存储UserId(数据库中的主键)并将其保存为持久cookie是否安全?
我已经看到很多人保存用户名的例子,但是这个(userId)可能是一个或两个数字的数字,我想这会让它更容易获得.所以我的问题是我应该这样做吗?如果没有,如果我只是保存用户名,为什么会更好?(这又可能是一个简短的名字)
它是不是安全的如果存储了未加密的值,然后从Cookie读取该值回,并用它来验证用户的后续请求(使用用户名这种方式也将是不安全的)身份。
这是不安全的,因为更改 cookie 中的值是微不足道的,然后用户可以包含另一个用户的身份。
但是,如果您将用户 ID 存储在FormsAuthenticationTicket.UserData 中并加密票证,则是安全的。
| 归档时间: |
|
| 查看次数: |
1868 次 |
| 最近记录: |