asp.net – 跨安全和非安全共享身份验证

发布时间：2020-12-16 03:24:26 所属栏目：asp.Net 来源：网络整理

导读：我正处于我正在处理的网站的情况下,经理希望允许用户登录,如果他们通过http或https登录则不用担心.基于另一个SO问题( how can I share an asp.net session between http and https),我认为如果我在cookie上设置secure = false,这将是可能的.为此,我们使用子

我正处于我正在处理的网站的情况下,经理希望允许用户登录,如果他们通过http或https登录则不用担心.基于另一个SO问题( how can I share an asp.net session between http and https),我认为如果我在cookie上设置secure = false,这将是可能的.为此,我们使用子域作为站点的安全部分.因此,对于http,我们使用site.com,而https使用secure.site.com.所以我尝试在web.config中设置域以进行身份??验证.

<authentication mode="Forms">   
  <forms loginUrl="/account/login"
    protection="All" timeout="30" name=".ASPXAUTH" path="/"
    requireSSL="false" slidingExpiration="true" defaultUrl="/"
    cookieless="UseDeviceProfile" domain="site.com"
    enableCrossAppRedirects="false" /> 
</authentication>

我做错了吗？我知道存在一些安全问题,我会在提出请求时解决这些问题.我只想让用户登录一次,并通过http和https记住.谢谢.

解决方法

我认为你的web.config中有错误的域名.你应该把它改成

domain=".site.com"

因此,您允许表单身份验证cookie在ssl.site.com和no-ssl.site.com域中同时存在.

所有这一切都说明了任何类型的安全性都以https：//开头所有解决方案 – 否则你就会陷入中间人攻击(网络代理可以向你的解决方案中注入不适当的内容,他们可以窃取你的授权cookie &在https://ssl.site.com等流程中使用它

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!