如何在ASP.Net标识中声明Cookie安全?

内容来源于 Stack Overflow,并遵循CC BY-SA 3.0许可协议进行翻译与使用

  • 回答 (2)
  • 关注 (0)
  • 查看 (139)

我通过网络阅读的方式了解它的方式是将声明存储为cookie,现在我将用户角色添加到Claim集合,并将其保存到Claim Cookie中。现在这很好,因为它可以节省数据库的周转时间,以便每次在我的ASP MVCController中检查授权属性时检索用户角色。

  • 这是安全的吗?
  • 如果被盗,cookie可以解密吗?
  • 有没有替代方案不保存Cookie中的声明并将其保存在服务器上,并且效率如此高,还是我很担心?
提问于
用户回答回答于
用户回答回答于

Cookie几乎是维护网站身份验证会话的标准方式。除非使用cookiless机制,该机制会将会话作为查询字符串传输,并且被证明不太安全。无论是否将声明存储在cookie中,仍然依靠cookie安全机制来维护页面匹配之间的客户端身份。该机制已经存在多年,只要您遵循Microsoft的实施准则,就会被认为是安全的。

假设将.NET 4.5或.NET 4.0与WIF库一起使用,则可以在服务器上缓存声明,而不是将其发送到Cookie中。这里是一些基本的文件。通常建议如果你有很多的声明,并且cookie太大,无法进行每一页命中。

扫码关注云+社区

领取腾讯云代金券