而不是使用ASP.NET MVC用户的系统,如下所示:ASP.NET MVC 4和会话安全漏洞
当他登录信息(用户名+密码),我取从数据库和一套相应的用户:
Session["UserId"] = fetchedUser.UserId;
然后,我总是检查他是否在登录:
if (Session["UserId"] != null && ...)
的问题是,如果有人复制ASP.NET_SessionId的从价值登录用户(例如:用户去卫生间和坐在他旁边的同事用铬检查员检查他的饼干),然后他将能够在他的电脑中创建一个cookie并作为该用户。
我的问题是:如果会话ID保存在cookie中
- 为什么会议比饼干更安全吗?
- 我可以让这更安全(并继续使用会话)吗?
- 内部ASP.NET用户认证系统如何做到这一点?
除非你在学习,否则安全不是你想要做的事情。你确定你不应该使用内置的安全性? –