我可以确定 Environment class 返回的值吗? (特别是 UserName 和 UserDomainName)是否有效?用户是否可以通过任何方式注入(inject)自己的值以由这些属性返回?这对我来说很重要,因为我想使用这个值进行授权。
最佳答案
微软声称it should be secure .
You can use the UserName property to identify the user on the current thread, to the system and application for security or access purposes. It can also be used to customize a particular application for each user.
The UserName property wraps a call to the Windows GetUserName function. The domain account credentials for a user are formatted as the user's domain name, the '\' character, and user name. Use the UserDomainName property to obtain the user's domain name and the UserName property to obtain the user name.
但我想,在拥有无限时间和金钱的敌对攻击者面前,他们可以构建自己的 Windows 版本,在此处返回他们想要的任何内容,或者使用驱动程序来修补 GetUserName 等。最终您需要使用类似 Kerberos 的内容如果您对客户不信任。
关于c# - .NET 环境类返回的值是否可以安全地用于授权,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35579500/