个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
据我了解,在使用 ServiceStack 的 Authentication 时您通常会在 session 开始时进行身份验证,然后在服务器端将 session 标记为已验证。后续的 Web 服务请求将使用该 session ID,不需要重新进行身份验证。 (如果我到目前为止错了,请纠正我)。
使用 SessionExtensions.cs 中的 Guid.NewGuid() 执行新 session ID 的生成, 其中 doesn't generate cryptographically fantastic values .是否有任何理由不改用加密安全值,例如使用 RNGCryptoServiceProvider ?
更新:
实际上,在进一步考虑之后,ASP.NET 不会使用其 session ID 来确认请求者已通过身份验证。它使用一个 FormsAuthenticationTicket,它已经用机器 key 加密和散列(ASP.NET 2.0 进程的 here's a nice description)。
我不是安全专家,所以如果您要比较 ASP.NET Forms Auth 提供的安全级别和随机值提供的安全级别,我不知道这有什么含义。我想这一切都归结为 key 和数据长度......但对表单例份验证进行暴力攻击所需的时间可能要高得多,因为它不需要只尝试一整堆随机数?
最佳答案
右 ServiceStack使用 Authenticating + Set session cookie 的标准 HTTP 方法为后续请求设置经过身份验证的 session ,这是所有 Web 框架中的常用方法。
虽然我从来没有听说过 .NET 中的漏洞能够预测和逆向工程 GUID,it appears ASP.NET 自己的 SessionId 不如 Guid 强(2^120 vs 2^128 位熵)。但鉴于它不是真正随机的,我们将在下一个版本中更改 ServiceStack 的实现以使用真正随机的标识符。
关于.net - ServiceStack session ID 是否足够安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14939926/
24
4
0
我创建了派生自的服务 ServiceStack.ServiceInterface.Service 实现一些请求。此服务实例的生命周期是多少 - 例如每次调用是否创建了一个新实例,或者该实例是否被缓存?
是否存在检测代码模型中的更改并自动重新创建数据库的首选方法?我不需要迁移数据,如果有更改,可以完全删除所有表,从模型中重新创建表,并使用代码中的初始数据集填充新表,这样就可以了。 与此相关:使用Ser
我正在尝试为 ServiceStack 服务创建一个自定义属性,我可以使用它来控制服务类中的每个方法。 这是我正在实现的属性类。 [AttributeUsage(AttributeTargets.Me
我在玩 ServiceStack,想知道它是否支持这种情况。我在我的请求类型中使用了泛型,这样许多从公共(public)接口(interface)继承的 DTO 将支持相同的基本方法 [比如... G
ServiceStack 服务中是否有任何机制来返回流/大型二进制数据? WCF 的 MTOM 支持虽然笨拙,但在返回大量数据而没有文本转换开销方面很有效。 最佳答案 我喜欢服务堆栈,这个小代码足以从
我很惊讶地发现没有关于这个主题的文档,有人知道 OrmLite 是否支持开放式并发吗?欢迎提供任何文档或示例引用。 最佳答案 这真的不取决于 OrmLite。这取决于隔离级别和您的数据库设置。 例子:
最近在做servicestack项目。当我尝试在项目中添加 open ServiceStack.ServiceInterface 时,它显示以下错误。 代码的 PFB 图片。 正如错误建议的那样,当我
我将如何使用 servicestack 处理静态文件? 我想添加一个像 Routes.Add(/app) 这样的路由,当客户端为此路径发出 GET 时,我需要返回一个 Silverlight xap
这类似于问题 Set Cache-Control: no-cache on GET requests ,这并没有真正得到回答。 在 API 响应中,缓存控制 header 被设置为私有(private
我刚刚进入 REST 和 ServiceStack,现在我的 GET 正在返回可能是 XML 或 Json 的字符串。 我现在需要处理更改我的域模型的 PUT 或 POST 命令。 对于单个资源,我的
一段时间以来,我们一直在将 ServiceStack 用于基于 REST 的服务,到目前为止,效果非常好。 我们所有的服务都写成: public class MyRestService : RestS
我读过@mythz 的这篇文章 https://stackoverflow.com/a/12413091/1095655 , 但我的声誉不够高,无法发表评论 我有一个问题正在工作。如果您收到带有版本
关于通用类型响应对象的文档,我遇到了 Swagger 的 ServiceStack 实现问题。强类型的响应对象被正确记录和显示,但是一旦通用类型的对象用作响应,文档就会不准确且具有误导性。 请求 DT
我目前正在研究一个解决方案,其中我们有一个自托管的 ServiceStack 层正在运行,但问题是当我从浏览器访问它并且浏览器尝试获取 favicon 时,我不断收到错误消息。据我所知,在运行自托管时
我正在查看 ServiceStack 中单元测试的源代码 TestHostBase.cs - 并让它与我自己的项目一起运行。在单元测试时如何在不实际启动监听器的情况下启用我的插件?例如,我想测试我的
ServiceStack 服务非常适合响应 Accept header 中请求的内容类型。但是如果我需要在请求过滤器中尽早关闭/结束响应,有没有办法用正确的内容类型进行响应?我在请求过滤器中所能访问的
我有一个 FileSystemBlobProvider 需要将物理路径映射到虚拟路径,反之亦然。我还需要访问主机名(我需要在给定应用程序相对路径的情况下生成公共(public) url)。理想情况下,
我阅读了新维基 Modularizing Services在 ServiceStack 页面上。我没有发现如何在插件中注册多个服务。当然我可以用appHost.Register(typeof(MySe
我想在重定向中保持状态并且想在重定向中保持一些状态。我认为 MVC 中的 TempData 会在 Rails 中执行此操作并闪烁消息。 ServiceStack 中的任何等效功能。我想在自己组装之前先
从 asp.net 网站调用 servicestack API 的最佳方法是什么。服务正在 IIS 中运行。服务堆栈中的所有方法都需要先进行身份验证。 我尝试使用 JsonServiceClient
我是一名优秀的程序员,十分优秀!