0
我在.NET 4.0範例中,並且我注意到了一個場景。我的API使用FormsAuthentication.Encrypt方法爲用戶創建一個令牌。問題是,如果我在本地主機上運行API,請調用API獲取密鑰,然後在對服務器的後續請求中使用相同的密鑰。這是爲什麼發生?這是所需的行爲?這不是安全風險嗎?服務器能夠解密在本地系統上生成的表單身份驗證密鑰
A
回答
1
問題是我們在應用程序web.config中覆蓋了machineKey值。所以這兩個應用程序(在本地機器和服務器上運行)都使用相同的密鑰進行加密和解密。因此,服務器可以解密本地機器加密的密鑰,反之亦然。
相關問題
- 1. Kerberos身份驗證密鑰表KVNO
- 2. 通過SSH密鑰進行服務器身份驗證失敗
- 3. 如何在Web API中使用Api密鑰進行使用表單身份驗證的服務身份驗證
- 4. Windows身份驗證在本地系統
- 5. 爲C#服務器控件生成/驗證許可證密鑰
- 6. 單聲道服務異常 - 身份驗證或解密失敗
- 7. 帶密鑰的身份驗證用戶
- 8. Cookie或RESTful密鑰的身份驗證?
- 9. 應用程序身份驗證密鑰
- 10. Swift Api密鑰身份驗證
- 11. SSO表單身份驗證問題。無法解密身份驗證Cookie
- 12. Windows身份驗證/表單身份驗證?如何最好地設計系統?
- 13. 生成一個簡單的許可證密鑰系統
- 14. 如何重置身份驗證服務用戶初始密鑰密碼
- 15. 表單身份驗證在本地工作,但不在開發服務器上
- 16. 解析REST API密鑰中斷客戶端密鑰身份驗證
- 17. 服務器密鑰被拒絕。沒有可用的身份驗證方法
- 18. HTTP在本地文件系統上進行身份驗證
- 19. 串行密鑰的生成和驗證
- 20. 在AWeber API上保存身份驗證密鑰
- 21. glassfish上的無密碼身份驗證
- 22. SQL查詢表上的身份密鑰
- 23. 智能卡中的身份驗證密鑰
- 24. PCSC C#加載不帶智能卡的身份驗證密鑰
- 25. WSO2身份服務器身份驗證
- 26. 驗證asp.net身份密碼
- 27. 身份驗證服務器
- 28. OpenWrt的基本身份驗證系統
- 29. RCurl,使用API密鑰的基本身份驗證
- 30. Rails上的身份驗證系統
你能澄清你的意思嗎?「可以在隨後的服務器請求中使用相同的密鑰?」你指的是哪個關鍵? – Levi
在API用戶傳遞他的u/p和API返回一個關鍵。這將識別他。我創建一張表單,對其進行加密並將其用作用戶必須隨每個後續請求轉發的密鑰。我相信如果表單身份驗證在這種方法下是安全的,那麼它也應該可以安全地使用API。 –
FormsAuthentication.Encrypt返回一個字符串,然後您可以將其傳遞給FormsAuthentication.Decrypt,它將返回用於生成加密字符串的原始FormsAuthenticationToken。您可以在同一個加密字符串上多次調用Decrypt方法,並且它應該每次都返回相同的原始FormsAuthenticationTicket。 – Levi