个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
31
4
我阅读了 Nancy Forms Authentication 的文档.据我所知,那里推荐的方法会导致终身 session ID:
"The identifier is the token that will be put in the authentication cookie which will be used to re-establish the identity of the user that is performing the request, so that you do not need to enter your credentials for each request."
据我所知,“标识符”就是大多数人所说的 session ID。
It is also important to know that the identifier should be treated as permanent for the user that it was generated for and will be reused across requests and application sessions.
这真的是推荐的方法吗?如果我理解正确的话,这意味着 session ID 永远不会改变也不会过期。所以session ID相当于一个密码,即
我知道我可以用 Nancy 以不同的方式实现这个,但我的观点是,这种方法不应该在文档中解释为引用。
因此,如果攻击者成功窃取该 session ID,例如通过 XSS 攻击,他获得了对系统的终身访问权限。
请指正我的错误并指出我的想法!
最佳答案
您所指的标识符不是 session ID,它是一个不可预测的用户标识符,然后映射(如果需要)到后端的真实用户标识符。如果有人以用户 X 身份登录,并且以某种方式设法解密、重新加密和重新签署 cookie,他们就不能仅仅将用户 ID 更改为“admin”或类似的东西并获得管理员访问权限(这就是ASP.Net Oracle 攻击奏效了)。它也是 HttpOnly,因此不能真正通过 XSS 捕获,尽管从技术上讲它可以使用 XST 捕获。
创建和终止 session (并在必要时删除 auth cookie)是完全不同的任务 - 您如何以及何时确定是否应该接受、删除或确认 auth cookie 与额外的密码请求是特定于应用程序的。现在这是一种常见的模式,网站会认为您永远“登录”,直到您执行“安全”操作为止,在这种情况下,如果您最近没有这样做,它会要求您重新验证。
希望这是有道理的。
关于c# - Nancy 文档中描述的表单例份验证是否容易受到 session 劫持?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21461825/
31
4
0
所以我试图让(例如)输入一些值:1 -2 -3 2 5正数的数量是 5 负数的数量是 -3总计为 3 平均值为 0.6我想让它像这样,但是当我运行它时,它不起作用哪一部分是错误的??? import
我编写了一个使用 OpenCV 的 cvCalcOpticalFlowLK 的程序。它在低分辨率网络摄像头输入上表现良好,但我需要在全高清流上运行它,并在对每一帧进行光流分析后进行重要的其他计算。处理
如果我有一个 ruby 脚本 Daemon,顾名思义,它作为守护进程运行,监视系统的各个部分并能够执行需要身份验证的命令,例如更改权限,是否存在一个简单的方法来拥有第二个 ruby 脚本,比如
我们有一个基于 Ant 和 Ivy 的构建管理系统,它基本上由一个共享的 ant 文件和一组围绕目录结构的约定组成。 我试图克服的一个障碍是相当常见的“递归发布”情况。比如说,我们有 5 个内部代码模
我在嵌入式 Linux 环境中遇到了问题。尝试确定它是否可以由应用程序引起。应用程序导致内核崩溃/锁定或终止 init 有多容易? 最佳答案 非根应用程序应该不可能影响任何一个。 以 root 身份运
我目前正在尝试学习 Nim(进展缓慢 - 无法投入太多时间)。另一方面,为了获得一些工作代码,我想对我正在 ruby 中开发的 Nim 应用程序的各个部分进行原型(prototype)设计。 由于
我是一名优秀的程序员,十分优秀!