【发布时间】:2016-01-05 09:14:37
【问题描述】:
我对与 ASP.NET 应用程序相关的安全性感兴趣。当我开发我的网站时,我广泛使用User.Identity.Name 值来识别用户。我想知道是否有可能修改请求,以便客户端可以更改此值并成为其他用户。如果是,那么如何识别用户以及如何安全地区分超级用户?
【问题讨论】:
标签: asp.net asp.net-mvc security
我对与 ASP.NET 应用程序相关的安全性感兴趣。当我开发我的网站时,我广泛使用User.Identity.Name 值来识别用户。我想知道是否有可能修改请求,以便客户端可以更改此值并成为其他用户。如果是,那么如何识别用户以及如何安全地区分超级用户?
【问题讨论】:
标签: asp.net asp.net-mvc security
是的,您可以依赖此值。 ASP.NET 的整个安全性都依赖于它。它存储在只能由应用程序解密的加密 cookie 中。如果恶意用户试图用另一个用户名替换这个 cookie 的值,他将无法加密 cookie,因为他没有机器密钥。
【讨论】:
SuperUser、Admin和User功能。
MVC。所以我想这个链接对我来说非常有用