安全cookie ASP.NET
[英]Security cookies ASP.NET
問題描述
我有一個代碼可以將Cookie中有關用戶名和密碼等用戶的信息持久化。
問題是:
將這樣的純文本信息存儲在cookie中是不安全的。我的數據庫存儲哈希密碼,因此我可以將這些哈希保存在cookie中,以后再檢索,但是如果這樣做,我將無法填充密碼的文本框,因為哈希字符串會太久了。
有什么解決辦法嗎?
1 個解決方案
解決方案1
7 已采納 2010-08-08 17:25:24
永遠不要將密碼以純文本格式存儲,即使是散列密碼也可能容易受到反向查詢的影響,除非正確加鹽。 ASP.NET表單身份驗證已經可以讓您創建一個持久身份驗證cookie,該cookie將允許用戶保持登錄狀態,因此您應該改用它。 在創建表單身份驗證Cookies時,請參閱超時,過期和IsPersistant屬性。
或者,您可以設置基於令牌的身份驗證系統,通過該系統,用戶在輸入登錄信息后便會獲得安全令牌,並且該令牌在指定的時間內有效。 這就是Live ID和Google帳戶的工作方式,通常將被盜記錄存儲在有效期為數周的Cookie中。
使用cookie是否會對asp.net中的應用程序安全構成威脅?
[英]Does using cookies pose a threat to application security in asp.net?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.