我正在使用 ASP.NET Forms 身份验证方法,并在 machinekey 标记中使用某些加密和解密 key ,并将 slipexpiration 设置为 true 和 20 分钟超时。 现在我有一个问题: 如果有人窃取了我的 cookie,他/她可以在任何地方使用我的帐户登录吗? (因为加密始终是恒定的) 如果答案是否定的,那么 cookie 值在每个请求中如何变化?
谢谢
已编辑:如果 cookie 在每次请求中都发生变化,那么加密 key 存储在哪里?应用程序如何知道解密数据的 key 是什么?
最佳答案
cookie 保存表单例份验证票证。通过滑动身份验证,存储在票证中的日期可以根据服务器检查的任何请求进行更新。这就是为什么您会看到 cookie 值发生变化。
cookie(或票证)很容易被盗,并且肯定可以用来劫持 session 。看这个Microsoft article了解更多信息。
关于asp.net - ASP.NET 身份验证票证如何加密?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10287214/