3
在我的网站中,我没有使用任何身份验证或授权。我创建了登录页面来捕获用户凭证并检查数据库。如果用户成功进行身份验证,则会将用户数据存储在会话中并导航到其他页面。在客户端保护ASP.NET窗体身份验证令牌?
如何考虑实现Forms身份验证,但我担心的是,出于安全原因如何在客户端浏览器中保护身份验证令牌。有没有人有任何想法如何保护身份验证令牌?
在我的网站中,我没有使用任何身份验证或授权。我创建了登录页面来捕获用户凭证并检查数据库。如果用户成功进行身份验证,则会将用户数据存储在会话中并导航到其他页面。在客户端保护ASP.NET窗体身份验证令牌?
如何考虑实现Forms身份验证,但我担心的是,出于安全原因如何在客户端浏览器中保护身份验证令牌。有没有人有任何想法如何保护身份验证令牌?
会议:
Fast, Scalable, and Secure Session State Management for Your Web Applications
认证:
How To: Protect Forms Authentication in ASP.NET 2.0
步骤1.配置
确保您的形式authenti阳离子 门票加密并通过 检查设置保护=“全部” 该元素。这是 的默认设置,您可以在Machine.config.comments文件中查看此 。
<forms protection="All" ... />
第2步:使用SHA1的HMAC生成和AES加密
<machineKey
validationKey="AutoGenerate,IsolateApps"
decryptionKey="AutoGenerate,IsolateApps"
decryption="Auto"
validation="SHA1" />
步骤3.保护身份验证票证与SSL
<forms loginUrl="Secure\Login.aspx"
requireSSL="true" ... />
那么如何保护会话状态令牌客户端浏览器中的cookies? – lourdhu 2010-07-16 18:21:36
我已经添加了会话状态信息的参考。 – 2010-07-16 18:46:23