2
我創建了一個服務器/客戶端應用程序。他們都是用C#編寫的。它使用自定義SSL實現的TCP/IP通信。 當前登錄過程需要用戶名/密碼對登錄。C# - 在WinForms中實現單點登錄(與Outlook一樣)
我被要求實施單點登錄以消除用戶名/密碼的需要。
現在,當客戶端啓動時,它會確定當前登錄的用戶的SID並將其發送到服務器,該服務器通過SID將此連接映射到用戶。
這個解決方案效果很好,但我認爲它根本不是一個安全的解決方案。
客戶端有一個很強的名字,當然它被混淆了。
我開始思考它是如何能破解這個登錄,我認爲這是從一個黑客的角度很容易: - 要了解用戶的SID在網絡上是沒有問題的 - 卸下強名稱並更改適當的代碼以使用硬編碼的SID而不是當前的可輕鬆實施
那麼您怎麼看? 請問你可以給我一個更好的解決方案嗎? 你能告訴我如何提高安全性?
或者你能告訴我請問Outlook如何處理用戶身份驗證? (我想/希望它不是那麼容易作弊Outlook)
謝謝!