使用cookie的形式在Asp.Net

Question

身份驗證票據的可能的缺點如果我使用

<authentication mode="Forms"> 

    <forms 

    cookieless="UseUri" 

    slidingExpiration="true" 

    timeout="60" 

    /> 

</authentication> 

一旦你作出這個change.When訪問作爲匿名用戶，網址看起來完全一樣，他們以前那樣。例如，訪問Default.aspx頁時，我的瀏覽器的地址欄中顯示以下網址：

http://localhost:2448/default.aspx 

然而，在登錄時，窗體身份驗證票嵌入的URL。例如，訪問登陸頁面和薩姆登錄後，我回到Default.aspx頁面，但是URL這段時間是：

http://localhost:2448/(F(jaIOIDTJxIr12xYS-VVgkqKCVAuIoW30Bu0diWi6flQC-FyMaLXJfow_Vd9GZkB2Cv-rfezq0gKadKX0YPZCkA2))/default.aspx 

注： Cookie的身份驗證票證更容易重播因爲身份驗證票據直接嵌入在URL中。想象一下，訪問網站的用戶登錄後，通過電子郵件將URL粘貼到同事。如果同事在到達之前點擊該鏈接，他們將以發送電子郵件的用戶身份登錄！

這是一個可能的缺點，如果我使用無Cookie驗證，我有興趣瞭解此方法的其他可能的缺點。

感謝

Answer 1

缺點：

1. 可以存儲在URL（特別是在移動和Windows 2003平臺）
2. 曲奇重放攻擊（你已經提到）的數據量有限 - 可以避免使用ssl，並限制使用超時。
3. 您的網址看起來很長，而不是「整齊」。