0

您能否验证我的身份验证解决方案是否足够优雅和安全。

网页配置

<authentication mode="Forms"> <forms name=".ASPXFORMSDEMO" loginUrl="logon.aspx" protection="All" path="/" timeout="30" /> </authentication>

<authorization> <deny users ="?" /> <allow users = "*" /> </authorization>

在 Logon.aspx.cs 我有两种方法:

private bool ValidateUser(string userName, string passWord)
private void LoginButton_Click(Object sender, EventArgs e)

ValidateUser我正在做的内部方法是执行 SQL 查询以检查输入的凭据是否类似于数据库记录。如果凭据匹配,我想执行重定向到称为PrivateRoom.aspx说使用的页面Response.Redirect("PrivateRoom.aspx", true);

对于这样的设计,你们怎么看?它有多优雅,有多安全?实际上,我如何PrivateRoom.aspx防止未经授权的访问?说我总是可以去http://mysite.com/PrivateRoom.aspx,它会打开这个页面。

谢谢您的回答!!!

4

1 回答 1

1

不安全,因为您没有使用requireSSL="true"cookie,因此 cookie 可以不安全地传输。

relative:一些黑客可以从用户那里窃取 cookie 并在网站上使用该名称登录吗?

于 2012-06-04T14:20:54.013 回答