在我的网站上,我没有使用任何身份验证或授权。我已创建登录页面以捕获用户凭据并检查数据库。如果用户成功进行身份验证,则会将用户数据存储在会话中并导航到其他页面。
如何实现Forms身份验证,但我担心的是如何出于安全原因在客户端浏览器中保护身份验证令牌。有没有人有任何想法如何保护身份验证令牌?
答案 0 :(得分:3)
<强>会话
Fast, Scalable, and Secure Session State Management for Your Web Applications
<强>认证
How To: Protect Forms Authentication in ASP.NET 2.0
步骤1.配置
确保您的表单身份验证 门票是加密和完整的 通过设置protection =“All”来检查 元素。这是 默认设置,您可以查看此 在Machine.config.comments文件中。
<forms protection="All" ... />
步骤2.使用SHA1进行HMAC生成,使用AES进行加密
<machineKey
validationKey="AutoGenerate,IsolateApps"
decryptionKey="AutoGenerate,IsolateApps"
decryption="Auto"
validation="SHA1" />
步骤3.使用SSL保护身份验证故障单
<forms loginUrl="Secure\Login.aspx"
requireSSL="true" ... />