堆棧內存溢出
  簡體   English   中英

ASP.NET SSL身份驗證票證安全性?

[英]ASP.NET SSL Authentication Ticket Security?

 原文  2010-01-24 20:56:57       asp.net/ security/ ssl/ https/ forms-authentication

問題描述

我打算在登錄表單上使用SSL,以便在用戶登錄期間對用戶名和密碼進行加密。

但是,在對用戶進行身份驗證之后,如果我返回HTTP,則每次請求時,Autantication Cookie都會從客戶端傳遞到服務器。 這有多安全? 顯然,我將在用戶輸入敏感信息的頁面上使用SSL,但是在大多數情況下,出於性能原因,我只希望它們保持身份驗證並使用HTTP。

我注意到,如果在web.config的表單身份驗證部分中設置RequiresSSL =“ True”,則如果使用HTTP,則不會傳遞身份驗證cookie,因此無法識別當前用戶。

我想我的問題是:

設置RequiresSSL =“ false”並允許身份驗證cookie通過HTTP傳遞是一種不好的做法嗎?

1 個解決方案

解決方案1
 1 已采納  2010-01-24 21:15:11

如果您設置protection="All" ,則對表單身份驗證cookie進行加密並使用服務器的機器密鑰對其進行校驗和,因此回落到HTTP並不是特別糟糕。

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 Jmeter&Forms身份驗證票證(asp.net) 在Asp.Net中使用cookieless表單身份驗證票證的可能缺點 訪問客戶端上的ASP.NET身份驗證票證(通過javascript) 為什么asp.net成員資格UserID沒有存儲在身份驗證票證中? asp.net表單身份驗證票據被篡改但仍然有效 弄清楚為什么asp.net身份驗證票證即將到期 ASP.NET 自定義票證上的身份驗證滑動到期時間 asp.net表單身份驗證票滑動到期代碼 將ASP.NET身份驗證票傳遞到Appcelerator Mobile App和從Appcelerator Mobile App傳遞 ASP.NET 4.7表單身份驗證失敗,提供的票證無效
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM