【发布时间】:2010-10-13 21:25:22
【问题描述】:
我有一个网络应用程序,一旦登录,几乎所有页面都会个性化。
我希望能够使用 SSL 锁定一些可能包含敏感信息的特定页面。据我所知,一旦您通过 SSL 登录页面(网站区域)登录,我用来存储大量个性化和用户凭据的会话信息对非 SSL 部分不可用的网站,因为它们被认为是 2 个独立的应用程序。
这个 MSDN 文档几乎说明了我在说什么:MSDN Doc
注意:如果您使用这种类型的网站结构,您的应用程序不得依赖非 SSL 页面上的用户身份。在上述配置中,对于非 SSL 页面的请求,不会发送表单身份验证票证。因此,用户被认为是匿名的。这对需要用户名的相关功能有影响,例如个性化。
我也没有使用表单身份验证。当用户登录时,会话对象会存储他们的凭据,包括他们的 IP。如果此会话对象存在于具有相同 IP 的特定用户,则他们被视为“已登录”并启用个性化功能。
所以我的问题是,是否有任何解决方法可以让我的登录页面和其他一些页面使用 SSL,网站的重置不是,并且所有页面都可以访问相同的会话变量?
如果不能,任何人都可以建议任何其他方法来完成相同类型的个性化功能吗?
【问题讨论】:
标签: c# asp.net security web-applications