Nano Hash - криптовалюты, майнинг, программирование

Заявляет о безопасности файлов cookie в ASP.Net Identity

Как я понял из чтения по всей сети, претензии хранятся в виде файлов cookie, теперь я добавляю роли пользователя в коллекцию претензий, и, таким образом, они будут сохранены в файле cookie претензий. Теперь это здорово, так как это избавило бы меня от обращения к базе данных для получения роли пользователя каждый раз, когда у меня есть атрибут авторизации для проверки в моем ASP MVC контроллере.

  • Это безопасно?
  • Можно ли расшифровать куки в случае кражи?
  • Есть ли альтернатива не сохранять претензии в Cookie и сохранять их на сервере, и эффективно ли это, или я сильно беспокоюсь?
c# asp.net asp.net-mvc owin claims-based-identity
09.03.2014

Ответы:


1

Файлы cookie — это в значительной степени стандартный способ поддержания сеанса аутентификации для веб-сайта. Если вы не используете механизм без файлов cookie, который передает сеанс в виде строки запроса и оказался менее безопасным. Независимо от того, храните ли вы утверждения в файле cookie или нет, вы по-прежнему полагаетесь на механизм безопасности файлов cookie для сохранения идентичности клиента между обращениями к странице. Этот механизм существует уже много лет и считается безопасным, если вы следуете рекомендациям по внедрению от Microsoft.

Если вы используете .NET 4.5 или .NET 4.0 с библиотеками WIF, вы можете кэшировать утверждения на сервере и не отправлять их в файле cookie. Вот некоторая основная документация. Обычно это рекомендуется, если у вас много претензий, а файл cookie становится слишком большим, чтобы его можно было сохранить при каждом обращении к странице.

09.03.2014
  • Большое спасибо за информацию, очень признателен, может быть, я ошибаюсь, но ссылка, которую вы мне дали, похоже, не работает с ASP.NET MVC 5.1 Owin 09.03.2014
  • Да, извините, это код до OWIN, я не был уверен, какую версию MVC вы использовали. В настоящее время нет встроенного кэширования на стороне сервера для файла cookie Owin, поэтому вам придется свернуть его самостоятельно, как опубликовал IliaJ. 10.03.2014

    • 2

    Как писал Олег, стандартное шифрование куки считается безопасным.

    Обсуждение здесь ‹ Кэширование утверждений на стороне сервера с помощью проверки подлинности Owin> может быть тоже интересно.

    09.03.2014
    Новые материалы
    Кластеризация: более глубокий взгляд
    Кластеризация — это метод обучения без учителя, в котором мы пытаемся найти группы в наборе данных на основе некоторых известных или неизвестных свойств, которые могут существовать. Независимо от..
    Как написать эффективное резюме
    Предложения по дизайну и макету, чтобы представить себя профессионально Вам не позвонили на собеседование после того, как вы несколько раз подали заявку на работу своей мечты? У вас может..
    Частный метод Python: улучшение инкапсуляции и безопасности
    Введение Python — универсальный и мощный язык программирования, известный своей простотой и удобством использования. Одной из ключевых особенностей, отличающих Python от других языков, является..
    Как я автоматизирую тестирование с помощью Jest
    Шутка для победы, когда дело касается автоматизации тестирования Одной очень важной частью разработки программного обеспечения является автоматизация тестирования, поскольку она создает..
    Работа с векторными символическими архитектурами, часть 4 (искусственный интеллект)
    Hyperseed: неконтролируемое обучение с векторными символическими архитектурами (arXiv) Автор: Евгений Осипов , Сачин Кахавала , Диланта Хапутантри , Тимал Кемпития , Дасвин Де Сильва ,..
    Понимание расстояния Вассерштейна: мощная метрика в машинном обучении
    В обширной области машинного обучения часто возникает необходимость сравнивать и измерять различия между распределениями вероятностей. Традиционные метрики расстояния, такие как евклидово..
    Обеспечение масштабируемости LLM: облачный анализ с помощью AWS Fargate и Copilot
    В динамичной области искусственного интеллекта все большее распространение получают модели больших языков (LLM). Они жизненно важны для различных приложений, таких как интеллектуальные..