【问题标题】:Should I rely on User.Identity value?我应该依赖 User.Identity 值吗?
【发布时间】:2016-01-05 09:14:37
【问题描述】:

我对与 ASP.NET 应用程序相关的安全性感兴趣。当我开发我的网站时,我广泛使用User.Identity.Name 值来识别用户。我想知道是否有可能修改请求,以便客户端可以更改此值并成为其他用户。如果是,那么如何识别用户以及如何安全地区分超级用户?

【问题讨论】:

    标签: asp.net asp.net-mvc security


    【解决方案1】:

    是的,您可以依赖此值。 ASP.NET 的整个安全性都依赖于它。它存储在只能由应用程序解密的加密 cookie 中。如果恶意用户试图用另一个用户名替换这个 cookie 的值,他将无法加密 cookie,因为他没有机器密钥。

    【讨论】:

    • 您的回答似乎很有用。任何有用的链接如何实现这个?因为这不是问题的一部分,但仍然很乐意在我的项目中实现此功能:) 如果可能的话,请帮助相关链接和视频
    • 您究竟需要实现什么?通常asp.net/mvc 网站应该包含足够的阅读材料。
    • 我想实现与安全部分相关的SuperUserAdminUser功能。
    • 太好了,所以你可以从这个部分开始:asp.net/mvc/overview/security 但我也鼓励你浏览这个站点的其他部分。
    • 非常感谢 :) 是的。我也开始尝试MVC。所以我想这个链接对我来说非常有用
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2016-03-15
    • 1970-01-01
    • 2021-01-28
    • 2010-09-18
    • 1970-01-01
    • 2015-04-15
    • 1970-01-01
    相关资源
    最近更新 更多