伙计我在这个场景中有两个应用程序。
应用程序A(VB.NET)通过HttpPts向应用程序B(C#)发送请求,如下所示:
Dim strform As StringBuilder = New StringBuilder()
...here I build a form with post method where I pass an Token that I receive from an STS
因此,当我发送帖子时,我在收到请求时捕获了应用程序B上的令牌,然后将其发送回验证的STS,并且由于验证,这会使我误报或为真。 / p>
我想,如果黑客例如在应用程序A将其发送到应用程序B之前捕获令牌并构建表单,就像应用程序A可以毫无问题地进入应用程序那样
我希望有两个人知道是否有任何方法可以确保该令牌对于该httppost请求是唯一的。
谢谢大家,最诚挚的问候。
编辑:
这是我用来从目标服务器获取其他页面的表单。
此代码由strinbuilder从上面生成。
<form id='PostForm' name='PostForm' action='http://myserverdestination.com/ichub/page.aspx' method='POST'>
<input type='hidden' name='token' value='rawToken6lakhdslkjasdjasdasjdjasd'></form>
当我到达目的地时,我有一个Page_Load方法,我收到de Request并从帖子中提取令牌值。
var token = Request.Form["token"]
现在想象一下,有一个男人插在网络上,我不知道,其中一个被授权的用户正在使用这个表单从目标服务器请求一个页面,那些用户首先请求我的STS令牌但是不知何故,这个形象抓住了这个形式,他会试着成功地进入令牌,对吗?
我的问题是如何让每个用户请求都是唯一的,只为该用户设置令牌?