asp.net - asp.net 中 User.Identity 中的 Ticket.UserData 有多安全-6ren

asp.net - asp.net 中 User.Identity 中的 Ticket.UserData 有多安全

转载作者：行者123 更新时间：2023-12-02 11:12:33

25

4

我的网站使用 ASP.NET 的表单例份验证，并且我将用户特定信息插入身份验证票证/cookie 的 UserData 部分。由于 UserData 位于身份验证票内，因此它是这样加密的

authCookie.Value = FormsAuthentication.Encrypt(newTicket);

现在我不太担心数据会被泄露，因为它是加密的。但我注意到数据以未加密的形式提供，如下所示

FormsIdentity fid = User.Identity as FormsIdentity;
string plainTextUserData = fid.Ticket.UserData;

数据本身并不是太重要。即使其他人可以看到我仍然可以。但我不能允许人们劫持这些信息并开始将其用作自己的信息。例如，我不希望一个用户冒充其他用户登录(基于 UserData 中包含的 userID

这是我必须担心的事情吗？

编辑1:

我想这样做的原因是我可以停止使用 session ，只使用 cookie 和 Ticket.UserData

编辑2:

Ticket.UserData 中的数据没有改变。一旦用户登录，它就保持不变。

最佳答案

i need more data on certain pages depending on what the user does. right now i am using sessions but now i want to move everything over into cookies. it's not a lot of data so i figured i could piggyback everything into the auth ticket/cookie

@jorsh1 根据您对 @Portman 的推荐，Ticket.UserData 不是存储更改数据的地方。您不希望在从一个页面转到另一页面时始终重新创建身份验证票证。

通过 session 服务或Sql Server使用 session 数据。如果您不希望 session 中的数据，并且数据很小且不敏感，则可以使用 cookie。 (*)

带有 UserData 的 MS 规范示例是存储诸如角色列表之类的内容，以便您可以说“我认为这个用户是管理员吗”之类的内容，但如果它是类似管理员角色的内容，您可能会点击在您隐式信任 cookie 中的内容之前要检查数据库。

string plainTextUserData = fid.Ticket.UserData;

这仅在您的应用程序中起作用，因为 Asp.Net 已经为您解密了票证。但是，如果您想设置数据 IIRC，您需要重新创建并重新附加表单例份验证 cookie。

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(
    currentTicket.Version + 1,
    currentUser.UserName,
    now,
    now.Add(formsAuthentication.Timeout),
    false,
    "new user data string",
    FormsAuthentication.FormsCookiePath);

string hash = FormsAuthentication.Encrypt(ticket);
HttpCookie cookie = new HttpCookie(
    FormsAuthentication.FormsCookieName,
    hash);

Response.Cookies.Add(cookie);

另一个应用程序无法解码此票证，除非它知道解密 key 或者它是暴力破解的。如果您对应用程序进行负载平衡或使用网络花园，you even need to keep the keys in sync.

* 我不支持在 session 中存储内容。通常还有另一种方法来保存该数据。

<小时/>

[编辑]我使用 session 的目的:

我经常发现自己做的唯一一件事就是在基于 session 服务器的 session 中存储用户关键数据的精简版本。然而，我们使其透明加载，并确保不重复票证中的内容。

这样我们就不会暴露 cookie 中的任何敏感内容，并且我们不依赖 session 。我们还设置了积极的 session 回收。结合 session 中存储的少量数据， session 不会给我们带来问题，并且由于只有一段代码知道 session 中的内容，因此我们可以轻松重构它。

对于其他任何事情， session 都是邪恶的。我更喜欢在需要它的页面中维护 View 状态，或者只是将临时状态保留在数据库中。

关于asp.net - asp.net 中 User.Identity 中的 Ticket.UserData 有多安全，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/563511/

25

4

0

文章推荐： r - 动物园错误: length(time(x)) == length(by[[1]]) is not TRUE

文章推荐： php - 在 php 中使用正则表达式来选择并回显波斯字符

文章推荐： php - Laravel 密码提醒 token 总是不匹配

文章推荐： gwt - 取消 GWT RequestFactory 请求

identity - POCO 具有新的 ASP.NET Identity 和 MVC 5.0 + 基于声明的 Identity
使用新版本的 VS 2013 RTM 和 asp.net mvc 5.0，我决定尝试一些东西... 不用说，发生了很多变化。例如，新的 ASP.NET Identity 取代了旧的 Membershi
asp.net-mvc - Asp.net Identity : User. Identity.GetUserId() 始终为 null，User.Identity.IsAuthenticated 始终为 false
请参阅下面的代码: var result = await SignInManager.PasswordSignInAsync(model.UserName, model.Password, model
asp.net-core - Microsoft.Extensions.Identity.Stores 和 Microsoft.Extensions.Identity.Core 和 Microsoft.AspNetCore.Identity 之间有什么区别？
我对 asp.net 核心标识中的三个包感到困惑。我不知道彼此之间有什么区别。还有哪些是我们应该使用的？我在 GitHub 上找到了这个链接，但我没有找到。 Difference between M
asp.net-identity - AspNet Identity 使用同一电子邮件多次外部登录
Visual Studio-为AspNet Identity 生成一堆代码，即LoginController 和ManageController。在 ManageController 中有以下代码:
ios - 'identity' 在 SwifUI 中是什么意思以及我们如何更改某些东西的 'identity'
我是 SwiftUI 的新手，在连续显示警报时遇到问题。 .alert(item:content:) 的描述修饰符在它的定义中写了这个: /// Presents an alert. ///
scala - Disjunction.fold(identity, identity) 有快捷方式吗？
我有一个 scalaz Disjunction，其类型与 Disjunction[String, String] 相同，我只想获取值，无论它是什么。因此，我使用了 myDisjunction.fold
c# - ASP.NET Identity 在每次请求时重新生成 Identity
我有一个 ASP.NET MVC 应用程序，我正在使用 ASP.NET Identity 2。我遇到了一个奇怪的问题。 ApplicationUser.GenerateUserIdentityAsyn
asp.net-identity - ASP.NET Identity 中的哪些代码设置了用户的安全标记？
安全戳是根据用户的用户名和密码生成的随机值。在一系列方法调用之后，我将安全标记的来源追溯到 SecurityStamp。 Microsoft.AspNet.Identity.EntityFramew
sql - Scope_Identity()、Identity()、@@Identity 和 Ident_Current() 之间有什么区别？
我知道 Scope_Identity()、Identity()、@@Identity 和 Ident_Current() 全部获取身份列的值，但我很想知道其中的区别。我遇到的部分争议是，应用于上述这
c# - Identity Server 3 + AspNet Identity 中基于角色的声明
我正在使用 ASP.NET 5 beta 8 和 Identity Server 3 以及 AspNet Identity 用户服务实现。默认情况下，AspNet Identity 提供名为 AspN
identity - 如何在 identity asp.net core 3 中上传个人资料图片并进行更新
我想在identity 用户中上传头像，并在账户管理中更新。如果有任何关于 asp.net core 的好例子的帖子，请给我链接。最佳答案我自己用 FileForm 方法完成的。首先，您必须在用户
asp.net-identity - ASP.NET 5 Identity - 为用户刷新角色
在 ASP.NET 5 中，假设我有以下 Controller : [Route("api/[controller]")] [Authorize(Roles = "Super")] public cl
thinktecture-ident-server - Thinktecture Identity Server v3 Google提供商
集成外部提供商(即Google与Thinktecture Identity Server v3)时出现问题。出现以下错误:“客户端应用程序未知或未获得授权。” 是否有人对此错误有任何想法。最佳答案
asp.net-identity - 播种 Identity 2.0 数据库
我有一个 ASP.NET MVC 5 项目( Razor 引擎)，它具有带有个人用户帐户的 Identity 2.0。我正在使用 Visual Studio Professional 2013 我还没
asp.net-identity - 本地登录后 User.Identity.Name 为空
我配置IdentityServer4使用 AspNet Identity (.net core 3.0) 以允许用户进行身份验证(登录名/密码)。我的第三个应用程序是 .net core 3.0 中
asp.net-identity - 为什么来自一个站点的 ASP.NET Identity 登录信息会与同一台机器上的不同网站共享？
我创建了一个全新的 Web 应用程序，比如“WebApplication1” - 身份验证设置为个人用户帐户的 WebForms。我不会在自动生成的代码模板中添加一行代码。我运行应用程序并注册用户“U
asp.net-identity - 如何本地化 ASP.NET Identity 用户名和密码错误消息？
是否可以为“系统”ASP.NET Identity v1 错误消息提供本地化字符串，例如“名称 XYZ 已被占用”或“用户名 XYZ 无效，可以只包含字母或数字”？最佳答案对于 ASP.NET C
identity - 查找 Windows Identity Foundation 的 STS 提供程序
我对 Windows Identity Foundation (WIF) 进行了非常简短的了解，在我看来，我的网站将接受来自其他网站的登录。例如任何拥有 Gmail 或 LiveID 帐户的人都可以在
wso2-identity-server - 使用 WSO2 Identity Server 管理外部自定义权限？
我需要向 IS 添加自定义权限和角色。此处提供用例 http://venurakahawala.blogspot.in/search/label/custom%20permissions .如何实现这
asp.net-identity - 如何使用 Identity Server 实现 SSO？
我有许多使用 .NET 成员身份和表单例份验证的旧版 .NET Framework Web 应用程序。他们每个人都有自己的登录页面，但都在同一个域中(例如.mycompany.com)，共享一个 AS

首页

博学

6Ren·AI

商城