[英]ASP.NET SSL Authentication Ticket Security?
我打算在登錄表單上使用SSL,以便在用戶登錄期間對用戶名和密碼進行加密。
但是,在對用戶進行身份驗證之后,如果我返回HTTP,則每次請求時,Autantication Cookie都會從客戶端傳遞到服務器。 這有多安全? 顯然,我將在用戶輸入敏感信息的頁面上使用SSL,但是在大多數情況下,出於性能原因,我只希望它們保持身份驗證並使用HTTP。
我注意到,如果在web.config的表單身份驗證部分中設置RequiresSSL =“ True”,則如果使用HTTP,則不會傳遞身份驗證cookie,因此無法識別當前用戶。
我想我的問題是:
“ 設置RequiresSSL =“ false”並允許身份驗證cookie通過HTTP傳遞是一種不好的做法嗎?
如果您設置protection="All"
,則對表單身份驗證cookie進行加密並使用服務器的機器密鑰對其進行校驗和,因此回落到HTTP並不是特別糟糕。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.