2011-06-06 124 views
2

我知道,即使數據已加密,將密碼存儲在cookie中也不是最佳做法。在加密的cookie中存儲密碼?

但是,我有一個Web應用程序需要能夠對Active Directory進行搜索,並且據我所知,它需要用戶首先使用他們的憑據綁定。這意味着對於每個搜索請求,我需要將用戶名和密碼傳遞給DirectoryEntry構造函數。

鑑於這些限制,是否有替代方法將密碼存儲在(安全)cookie中?

如果沒有更好的東西(例如獲取服務帳戶),我正在考慮的解決方案是將憑據存儲在加密的cookie中或緩存DirectorySearcher對象。

感謝

+0

您是否嘗試過使用Windows身份驗證來運行網站,並試圖在沒有用戶名和密碼的情況下進行綁定? – Rich 2011-06-06 18:40:33

+0

@很遺憾,由於此服務需要可用於非域計算機(例如校外計算機,學生筆記本電腦,iPad和智能電話),因此不起作用。 – 2011-06-06 18:46:11

回答

4

你可以保存憑證服務器端,生成一個唯一的標識符他們,這個標識符存儲在cookie中。如果需要,您可以使標識符過期。

+0

幸運的是,我能夠獲得一個服務帳戶,避免了存儲密碼的需要。我接受了你的答案,因爲它與我所做的相似。 – 2011-06-08 15:21:06

1

將密碼存儲在Session變量中,如果超出SessionTimeOut期限,則該變量將超時。