ASP.net表单身份验证 - 保护不适合我

时间:2011-02-23 22:56:17

标签: c# asp.net forms-authentication protection

在我的web.config文件中,我得到了以下内容:

<authentication mode="Forms">
   <forms name=".ASPXAUTH" protection="All" loginUrl="~/Account/Login.aspx" timeout="2880" />
</authentication>

但是当我登录并用fiddler观看流量时,我仍然可以用纯文本看到密码。我不知道什么是错的。

此致

亚光

2 个答案:

答案 0 :(得分:2)

我只知道两个解决方案:

  1. 使用https。最好的解决方案,确保安全。
  2. 使用javascript库(sha1)在发送密码之前对其进行哈希处理(并清除原始密码字段!)。还使用随机生成的盐,每次登录都不同,将盐存储在服务器上和隐藏字段中,这样您也可以检查盐(用户可能不会更改它)。

答案 1 :(得分:1)

表单身份验证仅解决对应用程序中URL端点的访问问题,但它不涉及数据如何传输到客户端或从客户端传输数据 - 您通过Fiddler看到的是正常的HTTP流量。

通常至少所有主要网站的登录页面都是通过HTTPS完成的,因此您无法监视纯文本HTTP。