在 cookie 中存储安全字段是正确的方法吗?
Is it right way to store security fields in cookies?
我试图在具有 ASP.Net 核心标识的 cookie 中存储额外的字段。
其中一个字段是角色名称。
在 cookie 中存储角色名称安全吗?
例如,用户是否可以将角色名称从“normalUser”更改为“admin”?
我正在使用 ASP.Net Core 3.1 版本。
切勿在 cookie 中存储敏感数据。正如梅森在评论中所说,可以修改 cookie,这意味着它们可以被利用。此外,您的 cookie 可能是明文形式,这更糟糕。
我建议将此类数据安全地存储在后端。
会话绝对比 cookie 更安全,因为它们存储在服务器端,但它们也可能受到攻击(会话劫持)。您需要正确配置它们以获得更好的安全性。
我试图在具有 ASP.Net 核心标识的 cookie 中存储额外的字段。
其中一个字段是角色名称。
在 cookie 中存储角色名称安全吗?
例如,用户是否可以将角色名称从“normalUser”更改为“admin”?
我正在使用 ASP.Net Core 3.1 版本。
切勿在 cookie 中存储敏感数据。正如梅森在评论中所说,可以修改 cookie,这意味着它们可以被利用。此外,您的 cookie 可能是明文形式,这更糟糕。
我建议将此类数据安全地存储在后端。
会话绝对比 cookie 更安全,因为它们存储在服务器端,但它们也可能受到攻击(会话劫持)。您需要正确配置它们以获得更好的安全性。