使用FormsAuthentication建成asp.net這是非常快速和容易地創建用於身份驗證的用戶創建一個cookie登錄系統:在的Web.Config文件與一些代碼配對FormsAuthentication:安全嗎?
FormsAuthentication.SetAuthCookie(uniqueUsername, false);
:
<authentication mode="Forms">
<forms loginUrl="Login.aspx" timeout="30" defaultUrl="Dashboard.aspx" protection="All" />
</authentication>
<authorization>
<deny users="?" />
</authorization>
,直到用戶進行認證。這會反彈所有請求回的Login.aspx和餅乾是使用SetAuthCookie()方法調用創建的。
這樣安全嗎?
我使用的經驗法則是我不在客戶端存儲他們沒有發送給我的任何數據。所以我過去所做的就是保存cookie中使用的用戶名和密碼,然後用每個請求重新驗證它。
使用這種方法每次都有額外的重新驗證開銷,但這也意味着我沒有在客戶端上存儲任何服務器數據。
我擔心
我擔心的是,通過使用SetAuthCookie()方法調用,該用戶名被存儲在客戶機上。那麼是否有人可以破解正在使用的加密,並替換爲另一個存儲的用戶名?
我覺得我太過分偏執,所使用的加密類型和級別是足夠的,但我認爲我會得到關於該主題的一些專家意見。
可能的重複http://stackoverflow.com/questions/133106/how-secure-is-basic-forms-authentication-in-asp-net – 5arx 2011-02-08 16:05:26
我不投票結束,這個問題不直接重複前述的網址。 – 2011-02-08 17:20:25
爲什麼你有<授權> <拒絕用戶=「?」 /> authorization>在web.config中? – Rushino 2011-12-07 20:00:26