0

我使用app.UseCookieAuthentication如下(只是一个简单的例子);

app.UseCookieAuthentication(new CookieAuthenticationOptions()
{
    AuthenticationScheme = "MyAuthScheme",
    AutomaticAuthenticate = true,
});

然后在某个地方我手动创建ClaimsPrincipal和登录用户:

var claimCollection = new List<Claim>() 
{
    new Claim(ClaimTypes.Name, "First user"),
    new Claim(ClaimTypes.Role, "User"),
    new Claim(ClaimTypes.Email, "first@user.com")
};
var claimsIdentity = new ClaimsIdentity(claimCollection);
var claimsPrincipal = new ClaimsPrincipal(claimsIdentity);

await context.Authentication.SignInAsync("MyAuthScheme", claimsPrincipal);

因此生成的 cookie 将包含有关用户角色的信息。

现在的问题是:这样生成的 cookie 安全吗?我的意思是 ASP.NET 是否以某种方式对其进行加密,因此最终用户无法以某种方式手动修改它,例如服务器会认为用户是管理员?当用户修改它时,服务器会注意到 cookie 已损坏吗?

4

1 回答 1

1

是的。

是的,它是加密的,所以你看不到内容。

是的,它已签名,因此会检测到篡改。

于 2016-09-21T20:05:06.313 回答