簡體 English 中英

在ASP.Net Identity中聲明Cookie安全性

[英]Claims Cookie Security in ASP.Net Identity

原文 2014-03-09 15:57:24 2 2 c#/ asp.net/ asp.net-mvc/ claims-based-identity/ owin

我通過網絡閱讀理解它的方式是聲明存儲為cookie，現在我將用戶的角色添加到聲明集合中，因此它將保存到聲明Cookie中。 現在這很好，因為每次我在我的ASP MVC控制器中檢查授權屬性時，它會省去數據庫的輪次跳轉以檢索用戶角色。

這樣安全嗎？
如果被盜，可以解密cookie嗎？
有沒有替代方法不在Cookie中保存聲明並將其保存在服務器上，這是有效的，還是我擔心多少？

2 個解決方案

Cookie幾乎是維護網站身份驗證會話的標准方法。 除非您使用cookiless機制，它將會話作為查詢字符串傳輸並且顯示不太安全。 無論您是否將聲明存儲在cookie中，您仍然依賴cookie安全機制來維護頁面命中之間的客戶端身份。 該機制已存在多年，只要您遵循Microsoft的實施指南，它就被認為是安全的。

假設您使用帶有WIF庫的.NET 4.5或.NET 4.0，您可以在服務器上緩存聲明，而不是在cookie中發送聲明。 這是一些基本文檔。 通常建議如果你有很多聲明並且cookie太大而無法進行每次點擊。

正如Oleg所寫，標准cookie加密被認為是安全的。

這里的討論< 服務器端聲稱使用Owin身份驗證進行緩存 >也可能很有趣。

ASP.NET身份：修改聲明后不更新cookie

[英]ASP.NET Identity: Not updating cookie after modifying claims

ASP.NET身份聲明

[英]ASP.NET Identity Claims

更改/修改asp.net身份中的聲明2

[英]Transforming / Modifying claims in asp.net identity 2

缺少 ASP.NET 身份角色聲明

[英]ASP.NET Identity Role claims missing

Asp.Net中基於聲明的身份

[英]Claims based Identity in Asp.Net

如何在 ASP.NET Identity 中添加聲明

[英]How to add claims in ASP.NET Identity

Firefox上缺少ASP.NET Identity cookie

[英]ASP.NET Identity cookie is missing on Firefox

Asp.net身份過期會話Cookie

[英]Asp.net Identity Expire Session Cookie

多個Cookie選項-ASP.NET身份

[英]Multiple cookie options - ASP.NET Identity

ASP.NET MVC中的身份cookie身份驗證

[英]Identity cookie authentication in ASP.NET MVC

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 ASP.NET身份：修改聲明后不更新cookie ASP.NET身份聲明更改/修改asp.net身份中的聲明2 缺少 ASP.NET 身份角色聲明 Asp.Net中基於聲明的身份如何在 ASP.NET Identity 中添加聲明 Firefox上缺少ASP.NET Identity cookie Asp.net身份過期會話Cookie 多個Cookie選項-ASP.NET身份 ASP.NET MVC中的身份cookie身份驗證

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM