在标准 ASP.Net MVC Identity 2.0 Owin 实现中的多个位置,您将看到 RememberBrowser,例如:
await signInManager.SignInAsync(user, isPersistent: isPersistent, rememberBrowser: false);
如果您确实将 RememberBrowser 设置为 true,我注意到我可以终止浏览器、终止 IIS Express、删除浏览器登录的用户,甚至重新启动我的计算机,并且浏览器仍被视为已登录 -在。不太好,考虑到删除的用户被视为授权/登录,这将导致 [Authorize] 属性后面的代码出现各种问题,该属性期望有一个有效的用户可以使用。
那么,rememberBrowser 到底在做什么,是否存在有人可能在 cookie 中伪造 RememberBrowser 来绕过 OWIN 登录的风险?似乎[Authorize]的目的是保证除了登录用户之外没有人可以访问给定的 Controller 操作,而rememberBrowser似乎是这一保证中的一个漏洞。
额外问题:有没有办法禁用rememberBrowser,这样即使伪造的cookie确实进来了,它也会被拒绝?
最佳答案
我认为rememberBrowser仅与双因素身份验证相关。因此,如果您将其设置为 true,浏览器将获取 TwoFactorRememberBrowser cookie,该 cookie 允许用户在登录过程中跳过 2FA 身份验证(如果启用)。
Is there a way to disable rememberBrowser so that even if a forged cookie did come in, it would be rejected?
从 RememberBrowser 创建的 cookie 与身份验证 cookie 结合使用。它只会允许用户跳过 2FA,因此如果不先进行身份验证,它是没有用的。
关于asp.net-mvc - 欧文记得浏览器到底是做什么的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32208144/