目前,我的網站在用戶輸入數據庫和IP地址後存儲會話ID,然後將其存儲在cookie中。如果會話ID和IP地址在每個頁面上匹配,那麼我們授予他們訪問權限。 這似乎很好,但我們希望允許用戶在多個IP地址/多個會話中登錄到網站。ASP.Net MVC4登錄會話有什麼好的做法?
所以我只是想知道最好和最安全的方式是什麼?我們是否只在會話中存儲了用戶名和密碼,我們是否在會話中存儲了用戶名和散列密碼,或者我們是否將唯一ID存儲在數據庫的新「Sessions」表中,並在其旁邊有用戶ID?那麼我們只是將會話ID存儲在Cookie中?
我不確定會話篡改是否是一件事情,但我通常認爲精英可能會這樣做,所以我儘量保證儘可能安全。我知道編輯Cookies也很簡單。
該網站在後臺使用Web服務。當用戶輸入他們的登錄信息時,他們會被髮送到服務中,然後檢查哪些信息會返回yay或nay。 原因是服務被不同平臺的多個應用程序使用。所以基本/簡單會員模式在這裏不會真正起作用。
請不要在任何會話中存儲密碼。另外你的密碼應該已經在數據庫中散列了。 –
他們是。所有密碼都被哈希和鹽漬。就像我說的,我有點擔心安全。這就是爲什麼我懷疑任何想法,我可以提出。我在網上找到的是使用ASP.Net的SimpleMembership的人,這對我來說不是一種選擇,因爲它使用在後臺運行的服務進行身份驗證。 – Largoh
@Largoh - 嗯? SimpleMembership不會驗證在後臺運行的服務,除非您使用可選的OpenId集成。 –