Файлы cookie безопасности ASP.NET

Question

У меня есть код для сохранения информации в файлах cookie о таких пользователях, как имя пользователя и пароль.

Вопрос:

Хранение такой информации в виде обычного текста в файлах cookie небезопасно. В моем хранилище БД хэшируются пароли, поэтому я могу сохранить эти хэши в файлах cookie и получить их позже, но если я это сделаю, я не смогу заполнить текстовое поле пароля, так как строка хеша будет слишком длинной для него.

Есть ли какие-нибудь решения?

Answer 1

Никогда не следует хранить пароли в виде простого текста, и даже хешированный пароль может быть уязвим для обратного просмотра, если он не введен правильно.ASP.NET Forms Authentication уже позволяет вам создать постоянный cookie-файл аутентификации, который позволит пользователю оставаться в системе, поэтому вы должны использовать его вместо этого.См. Свойства Timeout, expires и IsPersistant, когда Создание файлов cookie для проверки подлинности с помощью форм .

В качестве альтернативы можно настроить систему на основе токенов , с помощью которой пользователи получают защиту.токен после того, как они введут свою регистрационную информацию, и этот токен действителен в течение определенного периода времени.Так работают Live ID и учетные записи Google, и они обычно хранят толкен в файле cookie, который действует неделями в течение нескольких недель.