我正在使用 ASP.NET Forms 身份验证方法并在 machinekey 标记中使用某些加密和解密密钥,并将slidingexpiration 设置为 true 和 20 分钟超时。现在我有一个问题:如果有人窃取了我的 cookie,他/她可以在任何地方使用我的帐户登录吗?(因为加密始终是不变的)如果答案是否定的,那么每个请求中的 cookie 值如何变化?
谢谢
已编辑:如果每个请求中的 cookie 都发生变化,加密密钥存储在哪里?以及应用程序如何知道解密数据的密钥是什么?
问问题
2808 次
1 回答
2
cookie 保存表单身份验证票证。通过滑动身份验证,存储在票证中的日期可以使用服务器检查的任何请求进行更新。这就是为什么您会看到 cookie 值发生变化的原因。
cookie(或票证)很容易被盗,当然可以用来劫持会话。有关详细信息,请参阅此Microsoft 文章。
于 2012-04-23T20:03:48.850 回答