我希望这很清楚:
我有一个身份验证服务,可以查询我的aspnet角色提供程序数据库。 身份验证服务将角色详细信息传递回User对象内的客户端。 使用该角色,我查询我的web.config以确定用户可以看到的值。
安全团队已经完成了审核,他们可以看到User对象的Roles属性。他们拦截了这个响应,用“管理员”角色欺骗它,并用此查询我的网络配置。
我正在考虑使用AES加密服务,在客户端解密,但我遇到了在User对象中解密角色的只读问题。
有没有人有更好的想法,建议?
谢谢, 麦克
答案 0 :(得分:0)
如果您想避免欺骗,您可以签署您发送的回复,并接收带有该角色验证签名的消息。这通常使用公钥加密(通常使用X.509证书)来完成。
更一般地说,您是否考虑过使用现有的基础架构,例如Kerberos / ActiveDirectory?