ASP.NET 身份验证票证是如何加密的？答案

【问题标题】：How ASP.NET authentication ticket is encrypted?ASP.NET 身份验证票证是如何加密的？
【发布时间】：2012-05-04 10:59:59
【问题描述】：

我正在使用 ASP.NET Forms 身份验证方法，并在 machinekey 标记中使用某些加密和解密密钥，并将slidingexpiration 设置为 true 和 20 分钟超时。现在我有一个问题：如果有人窃取了我的 cookie，他/她可以在任何地方使用我的帐户登录吗？（因为加密总是不变的）如果答案是否定的，那么每个请求中的 cookie 值如何变化？

谢谢

已编辑：如果每个请求中的 cookie 都发生变化，那么加密密钥存储在哪里？以及应用程序如何知道解密数据的密钥是什么？

【问题讨论】：

如果您担心cookie被盗，那么您应该确保身份验证需要ssl，然后安装SSL证书。
stackoverflow.com/questions/20497761/…的可能重复

标签： asp.net authentication forms-authentication

【解决方案1】：

cookie 保存表单身份验证票证。通过滑动身份验证，存储在票证中的日期可以使用服务器检查的任何请求进行更新。这就是为什么您会看到 cookie 值发生变化的原因。

cookie（或票证）很容易被盗，当然可以用来劫持会话。请参阅此Microsoft article 了解更多信息。

【讨论】：