我正在使用ASP.NET Forms身份验证方法,并在machinekey标记中使用某些加密和解密密钥,并将slidingexpiration设置为true,并将20分钟超时 . 现在我有一个问题:如果有人偷了我的cookie,他/她可以在任何地方登录我的帐户吗? (因为加密总是不变的)如果答案是否定的,那么每个请求中cookie值的变化情况如何?
谢谢
编辑:如果cookie在每个请求中都发生变化,那么存储加密密钥?以及应用程序如何知道解密数据的关键是什么?
Cookie包含Forms身份验证票证 . 使用滑动身份验证,可以使用服务器检查的任何请求更新故障单中存储的日期 . 这就是为什么你会看到cookie值发生变化的原因 .
cookie(或票证)很容易被盗,当然可以用来劫持会话 . 有关详细信息,请参阅Microsoft article .
1 回答
Cookie包含Forms身份验证票证 . 使用滑动身份验证,可以使用服务器检查的任何请求更新故障单中存储的日期 . 这就是为什么你会看到cookie值发生变化的原因 .
cookie(或票证)很容易被盗,当然可以用来劫持会话 . 有关详细信息,请参阅Microsoft article .