使用Silverlight隔离存储来保持身份验证令牌?

时间:2008-10-31 09:45:00

标签: c# .net silverlight security

我想听一些关于在Silverlight中使用隔离存储来存储敏感数据的意见。例如,可以在此存储中存储身份验证令牌(标识服务器端会话的某些GUID),还是使用Cookie更好?

隔离存储提供了优于cookie的优势,因为它在浏览器之间共享,但处理到期可能更难,并且可能还有其他一些我不知道的问题(安全性?)。

那么......你的意见是什么?或者您是否知道有关该主题的任何精彩文章?

谢谢,雅各布

2 个答案:

答案 0 :(得分:2)

我刚开始使用Silverlight项目,该项目使用独立存储来存储以前在ASP.NET中编写应用程序时存储在cookie中的登录令牌。

我唯一注意到的最终结果是每种类型的浏览器都会记住同一个用户(而不是cookie解决方案,其中每个浏览器都有自己的cookie存储,并且它自己知道谁登录了)。 / p>

安全性不会有太大差异 - 如果您愿意 - 加密令牌。虽然你真的为什么要打扰?如果任何进程可以访问某人的私人AppData,他们就可以访问各种机密信息。

应用的网址确定访问权限,因此除非您的域名过期,否则没有人可以获取数据。

答案 1 :(得分:2)

除了在多个浏览器实例之间共享令牌的优势之外,我个人从未见过需要,我想我现在会坚持使用cookie。为什么?因为代理服务器和HTTP加速器等中介机构可以更好地支持它们。一般来说,我采用“使用标准”而不是“自己动手”的方法 - 这样可以减少维护代码,为新开发人员提供更熟悉的代码。