asp.net-mvc-3 - 单独项目中的 MVC 和表单身份验证 - 安全风险

Question

假设我有两个基于 MVC 3 的项目。它们都使用 Forms Authentcation 机制。用户正在登录第一个项目。然后他去第二个项目登录，结果是——他已经登录了。如何避免这种情况？

score 1 · Accepted Answer

如果您不设置FormsAuthentication类使用的 cookie 的名称，那么在同时运行两个 asp.net 应用程序时会遇到该问题。从该属性的定义：

用于存储表单身份验证票的 cookie 的名称。默认为“.ASPXAUTH”

所以你应该注意到只有一个cookie，而应该有两个（或打开的应用程序的数量）。

要解决您应该命名 cookie 的问题，您可以在web.config

<authentication mode="Forms">
    <forms loginUrl="~/Account/Login" timeout="2880" name="unique_cookie_name" />
</authentication>

1 回答 1