1

我正在努力寻找有关 Microsoft.Owin.Security.Infrastructure.AuthenticationTokenCreateContext.SerializeTicket 结果的敏感程度的信息

理想情况下,我想避免将其存储在服务器上,而只是将其发送到客户端(作为令牌),以便我可以在 AuthenticationTokenProvider.ReceiveAsync 中对其进行反序列化

我需要加密吗?即使加密后发送给客户端是否有问题?

我见过的所有实现都存储这个票服务器端,并且只向客户端发送一个标识符。不知道有没有理由不自己送票?

4

1 回答 1

0

我最终将票证存储在服务器上,并且只向客户端发送了一个标识符。

经过一番思考,我发现这种方法有以下优点:

  • 客户仍然可以使用票证(通过发回标识符)
  • 票证可以在服务器端失效(通过从数据库中删除它们),例如当用户密码被更改时
  • 不再有知道哪些数据是敏感数据的问题(票证始终保留在服务器上)
  • 它可以防止票证伪造(票证标识符在我的实现中是随机的 Guid)
于 2017-01-04T21:21:23.287 回答