ASP.NET 身份 2 角色似乎在 cookie 中
ASP.NET Identity 2 roles seem to be in the cookie
我是 learning/using ASP.NET Identity 2(我想具体来说是 2.2,但我现在不在 PC 上使用代码),我有自己的数据库结构,基于 post 'ASP.NET Identity Stripped Bare - MVC Part 1' and its follow-up (part 2, natch) post.我根据需要做了一些更改,以便将它与 Web Forms 和 VB 一起使用,因为这是我最了解的,如果没有必要,我不想尝试同时学习两件事。我还使用角色来管理对应用程序不同区域的访问。
查看在登录期间来回移动应用程序的数据库查询后,角色 - 以及其他声明 - 似乎存储在身份验证 cookie 中。
考虑到 cookie 主要掌握在客户手中,我应该担心吗?声明是否缓存在 Web 服务器上,而不是在 cookie 中?如果它们在 cookie 中,这是个问题,我该怎么办?
声明等存储在 cookie 中,但它们是加密的。因此,它们与该 cookie 上的加密一样安全。
That encryption is AES,没有已知的实际攻击。如果您的 machineKey 被盗,那么您就有麻烦了——但比流氓 cookie 麻烦多得多。
我是 learning/using ASP.NET Identity 2(我想具体来说是 2.2,但我现在不在 PC 上使用代码),我有自己的数据库结构,基于 post 'ASP.NET Identity Stripped Bare - MVC Part 1' and its follow-up (part 2, natch) post.我根据需要做了一些更改,以便将它与 Web Forms 和 VB 一起使用,因为这是我最了解的,如果没有必要,我不想尝试同时学习两件事。我还使用角色来管理对应用程序不同区域的访问。
查看在登录期间来回移动应用程序的数据库查询后,角色 - 以及其他声明 - 似乎存储在身份验证 cookie 中。
考虑到 cookie 主要掌握在客户手中,我应该担心吗?声明是否缓存在 Web 服务器上,而不是在 cookie 中?如果它们在 cookie 中,这是个问题,我该怎么办?
声明等存储在 cookie 中,但它们是加密的。因此,它们与该 cookie 上的加密一样安全。
That encryption is AES,没有已知的实际攻击。如果您的 machineKey 被盗,那么您就有麻烦了——但比流氓 cookie 麻烦多得多。