Question

Я пишу собственный провайдер членства, который использует LINQ для управления моими пользователями. Я также создаю свои собственные таблицы для управления пользователем. Как мне войти в систему, используя объект FormsAuthentication, если я хочу, чтобы аутентификация была без cookie?

Troy Hunt · Answer 1 · 06 августа 2011

Вы действительно хотите избежать сохранения сеанса без файлов cookie любой ценой.Это означает постоянство через URL, который очень уязвим для перехвата сеанса.Посмотрите на пример в OWASP Top 10 для разработчиков .NET, часть 3: Сломанная аутентификация и управление сессиями .

Вы действительно уверены, что у вас есть клиенты, которые не поддерживают куки иВы готовы поставить под угрозу безопасность этих людей?

Internet Engineer · Answer 2 · 05 августа 2011

В обычном asp.net IIS управляет этим для вас, вставляя идентификатор сеанса в URL.

Кстати, это не самый безопасный подход, так как сессия может быть украдена.

http://msdn.microsoft.com/en-us/library/aa479314.aspx

логин пользователя asp.net mvc с использованием форм аутентификация без cookie

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

логин пользователя asp.net mvc с использованием форм аутентификация без cookie

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов