我目前正在考虑我的一个Web应用程序,我希望提供一些有关提高安全性的建议.
我会注意到该应用程序在ASP.net中,当前的实现阻止我使用集成身份验证.这也绝不是一个需要高安全性的应用程序,我只是喜欢我的基础.
在过去,我已经存储了id和令牌.令牌是用户ID的哈希值+用户的Salt(重用auth信息中的值)当用户访问站点时,将根据令牌检查ID并相应地进行刷新.
我觉得这里有个大洞.从理论上讲,如果有人掌握了盐值,他们需要做的就是猜测哈希算法并迭代可能的ID,直到他们进入.我不认为这会发生,但它似乎仍然是一个错误.
有关如何正确确认用户cookie未被更改的任何建议?