Sou*_*ceC 2 .net asp.net encryption
Q1 - 表单身份验证模块在将其置于cookie之前对其身份验证信息(票证)进行加密.
现在,我对加密算法知之甚少,他们通常使用一些随机生成的值来加密和解密一段数据.因此,如果相同的算法使用值A来加密某些数据,那么它也将需要相同的值以便能够解密该数据.
A)由于几个用户可以登录(通过表单身份验证模块)到特定的Web应用程序,每个用户的身份验证信息是否会使用相同的随机生成值进行加密?
Q2身份验证票据包含有关经过身份验证的用户的几条信息,但这些数据实际上告诉Asp.Net(当用户再次请求页面时)它正在处理已经过身份验证的用户?
感谢名单
Q1:表单身份验证使用machineKey加密cookie.由于其值在machine.config中是常量,因此ASP.NET能够解密使用相同密钥加密的cookie.
该cookie被加密使用相同的密钥,但该密钥是唯一已知的服务器,这意味着用户不能使用cookie的数据篡改,因而无法模拟其他用户,因此它不使用相同的私有安全风险加密cookie的关键.
Q2:票证包含以下信息:用户名和用于确定其是否有效的日期(如果设置了滑动过期,ASP.NET可以在每次请求时检查其有效性时重写cookie).如果cookie由客户端发送,并且当它被解密时仍然有效,则ASP.NET假定客户端已通过身份验证.
| 归档时间: |
|
| 查看次数: |
897 次 |
| 最近记录: |