0

我在 .NET 4.0 范式中,我注意到了一个场景。我的 API 使用FormsAuthentication.Encrypt方法为用户创建令牌。问题是,如果我在 localhost 上运行 API,调用 api 来获取密钥,我可以在对服务器的后续请求中使用相同的密钥。为什么会这样?这是期望的行为吗?不是有安全隐患吗?

4

1 回答 1

1

问题是我们覆盖machineKey了应用程序 web.config 中的值。因此,两个应用程序(在本地机器和服务器上运行)都使用相同的密钥来加密和解密。因此,服务器可以解密本地机器加密的密钥,反之亦然。

于 2012-08-23T08:07:23.513 回答