gpt4 book ai didi

asp.net - 防止 ASP.Net MVC 中的 Cookie 重放攻击

转载 作者:行者123 更新时间:2023-12-02 11:14:04 25 4
gpt4 key购买 nike

我的任务是实现本文中的第 4 点:http://support.microsoft.com/kb/900111

这涉及使用成员(member)资格提供程序在用户登录和注销时向服务器端记录添加注释,然后确认当使用 cookie 进行身份验证时,用户尚未注销。这对我来说非常有意义。开始崩溃的地方是我们当前不使用成员(member)资格提供程序,因此我似乎面临重新实现所有身份验证代码以使用成员(member)资格提供程序。目前,我们在 Controller 中检查身份验证,并在知道用户存在后调用 FormsAuthentication.SetAuthCookie()。强制成员(member)提供商加入需要做很多工作。

所有这些工作真的有必要吗?我可以将自己的 cookie 值键值存储滚动到已登录的用户,并确保在用户点击注销按钮时清除此值吗?如果这看起来不安全,是否有一种方法可以实现最小的成员(member)资格提供程序,以便在不将所有身份验证代码交给它的情况下进行这些检查?

我想我的主要问题是,我们很久以前就决定成员(member)提供商模型不适合我们用于锁定和解锁帐户的模型,因此选择不使用它。现在我们发现 MS 的建议特别提到了成员(member)提供商,因为这是安全性的,所以我需要确保不按照他们的建议使用它不会造成麻烦。

最佳答案

Can I roll my own key value store of cookie values to logged in users and just make sure I clear this when a user hits the logout button.

是的,你可以做到这一点。成员(member)提供商保留一小组有关用户的数据(用户名、电子邮件、密码、上次登录、丢失密码问题、丢失密码答案等)。

如果您不想改造成员(member)提供商,我会采取您提到的方法。无论信息是写入 aspnet_Users 表的注释字段还是您自己的表中的位字段,都没有任何区别。

您可能还需要考虑将接口(interface)放入您的成员(member)/身份验证代码。然后,您可以在更方便的时候将当前代码替换为成员(member)提供程序实现。

关于asp.net - 防止 ASP.Net MVC 中的 Cookie 重放攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2117930/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com