Безопасно ли делать вызов API для получения нового токена AntiForgery после входа в систему? - PullRequest
0 голосов
/ 08 октября 2019

Я создаю веб-сайт с использованием ASP.Net и встроенных классов AntiForgery для создания токена и файла cookie. Это все работает хорошо, за исключением, конечно, когда имя пользователя изменяется, например, при входе или выходе из системы.

Распространенным решением является дополнительный вызов API для получения обновленного токена API. Не будучи экспертом по безопасности, я хочу получить некоторое представление о том, является ли этот дополнительный вызов действительно безопасным, поскольку это открытый, незащищенный GET-запрос.

Я считаю, что ответ - да, благодаря HTTP-безопасностиcookie, который возвращается как часть запроса. Но просто хотелось бы получить дополнительную информацию или подтверждение этого.

Кроме того, есть ли способ заставить ASP.Net Identity.Name вернуть правильное имя сразу после входа в систему, во время того же запроса? Это предотвратит необходимость повторного запроса от клиента.

...