Cookies ASP.NET Identity 2角色似乎在cookie中
我正在学习/使用ASP.NET Identity 2(我想具体是2.2,但我现在不在电脑上编写代码)和我自己的数据库结构,基于帖子“”及其后续(,natch)帖子。我已经做了一些必要的修改,以便在Web窗体和VB中使用它,因为这是我最了解的,如果没有必要,我不想尝试同时学习两件事。我还使用角色来管理对应用程序不同区域的访问 在查看了在登录和移动应用程序期间来回的数据库查询之后,似乎角色以及其他声明都存储在身份验证cookie中Cookies ASP.NET Identity 2角色似乎在cookie中,cookies,asp.net-identity,roles,claims,Cookies,Asp.net Identity,Roles,Claims,我正在学习/使用ASP.NET Identity 2(我想具体是2.2,但我现在不在电脑上编写代码)和我自己的数据库结构,基于帖子“”及其后续(,natch)帖子。我已经做了一些必要的修改,以便在Web窗体和VB中使用它,因为这是我最了解的,如果没有必要,我不想尝试同时学习两件事。我还使用角色来管理对应用程序不同区域的访问 在查看了在登录和移动应用程序期间来回的数据库查询之后,似乎角色以及其他声明都存储在身份验证cookie中 考虑到饼干主要掌握在客户手中,我应该担心吗?声明是否缓存在web服务
考虑到饼干主要掌握在客户手中,我应该担心吗?声明是否缓存在web服务器上,而不是缓存在cookie中?如果它们在cookie中,这是一个问题,我能做些什么?声明等存储在cookie中,但它们是加密的。所以,它们就像cookie上的加密一样安全
,它没有已知的实际攻击。如果你的machineKey被偷了,那么你在那里就有麻烦了——但麻烦要比流氓cookie多得多。你的cookie是否包含签名组件(HMAC)?如果是这样,那么不要担心,因为如果用户更改cookie的内容,身份验证将失败。我相信你也可以选择对cookie进行完全加密。如果我是诚实的,我不确定。我正在使用Microsoft.Owin.Security.Cookies,如果这与此有关的话。据NuGet称,这是一种中间件,使应用程序能够使用基于cookie的身份验证,类似于ASP.NET的表单身份验证