我是网络新手。现在我尝试使用cookie开发自定义用户身份验证。当用户登录时,我提供服务器响应cookie,其中包含userId和随机生成的会话令牌guid。当用户然后向服务器请求时,它从请求中提取身份验证cookie,因此服务器获取有关userId和用户会话的信息。
我的问题是:我应该在哪里存储和检查与用户一起提供的会话令牌'要求?如果malefactor会使用伪userId和会话令牌伪造cookie,该怎么办?
现在我的程序中没有地方存储,然后检查userId和会话令牌之间的映射。
答案 0 :(得分:1)
要强制执行ASP.NET MVC应用程序的安全性,可以使用Anti Forgery Tokens。
我建议您不要实施“自定义”用户身份验证,但请查看ASP.NET Identity。它非常灵活,涵盖了大多数必要的身份验证方案。