Nancy 文档中描述的表单身份验证是否容易受到会话劫持的影响？

Question

我阅读了Nancy Forms Authentication 的文档。据我所知，那里推荐的方法会导致终身会话 ID：

"标识符是要放入认证的token 用于重新建立用户身份的 cookie 正在执行请求，因此您无需输入您的 每个请求的凭据。”

据我了解，“标识符”就是大多数人所说的会话 ID。

同样重要的是要知道标识符应该被视为 对于为其生成并将被重用的用户永久 跨请求和应用程序会话。

这真的是推荐的方法吗？如果我理解正确，这意味着会话 ID 永远不会改变并且永远不会过期。所以会话ID就相当于一个密码，

• 每次请求都会在 cookie 中重新传输
• 可能以明文形式存储在数据库中，如果您按照文档进行到底

我知道我可以用 Nancy 以不同的方式实现这一点，但我的观点是，这种方法不应在文档中作为参考解释。

因此，如果攻击者成功窃取了该会话 ID，例如通过 XSS 攻击，他获得了对系统的终身访问权限。

请纠正我并告诉我我的想法中的错误！

Answer 1

“标识符”就是大多数人所说的会话 ID。

不是。它类似于 UserId。正如文档所述：

我们选择使用 GUID 作为标识符。这样做的原因是使用类似 id 的用户名是一个潜在的漏洞，因为如果 cookie 加密以某种方式受到损害，很容易通过猜测他们的用户名或 id 来欺骗另一个用户的身份。

他们只是使用分配给用户的 GUID 来提高安全性。当然，（基于 cookie）FormsAuthentication 具有 cookie 的所有缺点。如果有人可以访问您的身份验证 cookie，他们可以将自己验证为您。但是会话 cookie 和表单身份验证 cookie 是完全不同的东西，This answer 非常清楚地说明了差异。

Answer 2

您所指的标识符不是会话 id，它是一个不可预测的用户标识符，然后将其映射（如有必要）到后端的真实用户标识符。如果有人以用户 X 的身份登录，并且设法解密、重新加密和重新签署 cookie，他们就不能仅仅将用户 ID 更改为“admin”或类似的东西并获得管理员访问权限（这就是ASP.Net Oracle 攻击奏效了）。它也是 HttpOnly，因此不能通过 XSS 真正捕获，尽管从技术上讲它可以使用 XST 捕获。

创建和终止会话（并在必要时删除身份验证 cookie）完全是一项不同的任务 - 您如何以及何时确定是否应接受、删除或确认身份验证 cookie 并通过额外的密码请求是特定于应用程序的。这是现在的一种常见模式，网站会认为您永远“登录”，直到您执行“安全”操作，在这种情况下，如果您最近没有这样做，它会要求您重新验证。

希望这是有道理的。