使用单个cookie处理整个身份验证和授权是否可以?
我习惯使用单个cookie进行身份验证和授权,该cookie中包含用户ID。在每个页面上,我将检查用户是否存在此用户ID。 使用存储在客户端的单个cookie值来处理整个用户身份验证和授权是否安全? 我想根据与我的方法相关的安全问题找到答案。 我的网站是否会因使用创建假cookie而被轻易入侵?
1 个答案:
答案 0 :(得分:0)
使用创建虚假Cookie会不会轻易入侵我的网站?
答案是肯定的。
如何
恶意用户在您的系统中创建虚拟帐户。然后使用Chrome浏览器中编辑此Cookie 等工具更改Cookie值(用户ID)。
如果用户ID是Guid,则有点难以猜测。然而,这是一场等待发生的灾难。
如何预防
由于您使用的是ASP.Net,因此最简单的将是ASP.Net Form Authentication。这是一个例子,
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1,
"userName",
DateTime.Now,
DateTime.Now.AddMinutes(30), // value of time out property
false, // Value of IsPersistent property
String.Empty,
FormsAuthentication.FormsCookiePath);
string encryptedTicket = FormsAuthentication.Encrypt(ticket);
如果您对表单身份验证有疑问,请在Google和StackOverFlow中搜索。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?