在ASP.NET中单点登录 - cookie名称,machineKey还有什么?
在ASP.NET中单点登录,除了cookie名称和machineKey之外,还有以下内容:
- Forms Authentication(表单身份验证):ASP.NET中的一种身份验证机制,用于验证用户的身份和授权访问。它使用cookie来存储用户的身份信息,并通过验证cookie来实现单点登录。
- 身份提供者(Identity Provider):在单点登录中,身份提供者是负责验证用户身份并颁发令牌的服务。常见的身份提供者包括ADFS(Active Directory Federation Services)、Okta、Ping Identity等。
- 令牌(Token):在单点登录中,令牌是用于验证用户身份和授权访问的凭证。常见的令牌类型包括JWT(JSON Web Token)、SAML(Security Assertion Markup Language)等。
- SSO(Single Sign-On,单点登录):一种身份验证机制,允许用户使用一组凭据(如用户名和密码)登录到一个应用程序,并在登录后自动获得对其他应用程序的访问权限,而无需再次输入凭据。
- SAML(Security Assertion Markup Language):一种基于XML的开放标准,用于在不同的安全域之间传递身份验证和授权信息。在单点登录中,SAML被广泛用于身份提供者和服务提供者之间的身份验证和授权。
- OpenID Connect:一种建立在OAuth 2.0之上的身份验证协议,用于实现认证和授权。它提供了一种安全的方式来验证用户身份,并通过令牌来授权用户访问资源。
- 腾讯云相关产品和产品介绍链接地址:
- 腾讯云身份认证服务(CAM):提供安全可靠的身份认证和访问管理服务,支持单点登录和身份提供者集成。详细信息请参考:https://cloud.tencent.com/product/cam
- 腾讯云API网关:提供统一的API访问入口,支持身份认证和授权管理。详细信息请参考:https://cloud.tencent.com/product/apigateway
- 腾讯云访问管理(TAM):提供细粒度的访问控制和权限管理,帮助保护云资源的安全。详细信息请参考:https://cloud.tencent.com/product/tam
请注意,以上答案仅供参考,具体的实现方式和推荐产品可能会因实际需求和环境而有所不同。
相关·内容
1回答
我们正处于将所有应用程序移动到同一主域的子域中的阶段。
一旦完成,我们的目标是将我们的整个设置转移到一个单点登录系统。目前,我们使用表单身份验证,并在用户成功登录时设置一个包含加密令牌的cookie。
在设置SSO时,是否只需更改设置会话cookie的域?或者,是否还有其他需要解决的问题才能正常工作。
浏览 0提问于2011-05-30得票数 1
回答已采纳
我已经找到了大量关于如何在ASP.NET 4.X和ASP.NET内核之间共享身份验证cookie的信息,但我没有找到任何关于如何在两个4.X应用程序之间共享的文档。其中一个应用是ASP.NET 4.6.2,另一个是ASP.NET 4.8。
这可能是超级简单,但我想澄清一下。
在这两个应用程序的Startup.Auth.cs中,我有以下内容:
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
CookieName = "MySharedCookieName",
CookieDomain =
浏览 0提问于2022-07-25得票数 0
回答已采纳
我有一个遗留的webforms应用程序,并且正在构建一个新的MVC版本来取代它。两人都需要并肩作战一段时间,我需要单点登录才能工作。以前,用户通过webforms应用程序登录,我成功地设置了表单身份验证,这样MVC应用程序就可以通过cookie进行身份验证。
新的登录表单现在已经在MVC应用程序中完成,用户现在需要从这些应用程序登录。MVC应用程序使用Identity 2.x和OWIN。我最初尝试配置OWIN来匹配遗留webforms应用程序中的设置,但是无法让webforms应用程序读取cookie并对用户进行身份验证。
从那时起,我决定在webforms应用程序中安装IndEntity2.
浏览 2提问于2015-05-20得票数 6
2回答
通过在IIS 7下创建两个新网站,我发现在不同的应用程序池中运行时,单个登录身份验证是不起作用的。当我将应用程序移动到同一个池中时,我可以在其中一个上登录,然后登录另一个。当我更改其中一个应用程序池时,我不会在第二个应用程序池上登录。
是否可以在machine.config文件中设置允许它们在应用程序池上共享相同cookie的设置?
例如。1: proj1 (应用程序池.net 2)
proj2 (app池.net 2)
单点登录作品,他们共享相同的饼干。
例如。2: proj1 (应用程序池.net 2)
proj2 (app池.net 4,集成/经典)
单点登录不起作用,他们没有分享相
浏览 0提问于2011-07-01得票数 4
回答已采纳
1回答
跨不同域的单点登录
、、、、
如何实现跨域的单点登录?我有两个或更多的域,我希望它们都能通过一个使用SqlMembershipProvider (ASP.NET 2.0成员数据库)的服务器进行身份验证。我有一个域foo.com,它托管asp.net成员数据库,另一个域bar.com,它想通过foo.com进行身份验证。我在互联网上找到了很多关于不同应用程序的文章,但在相同的领域但不同的领域,我没有找到完整的文章描述周期,我看到一些使用FormsAuthenticationTicket类或FormsAuthentication类。我知道web.config中的machineKey应该是相同的。我认为让foo.com一旦通过身
浏览 3提问于2009-02-24得票数 2
回答已采纳
1回答
我读过很多例子,但我不知道为什么我的代码不能工作。这是我的web.config项目中ASP.NET代码的一部分:
<system.web>
<authentication mode="Forms">
<forms loginUrl="Panel/Login" timeout="525600" slidingExpiration="true" />
</authentication>
<compilation debug=&
浏览 2提问于2015-07-09得票数 0
回答已采纳
参见问题底部的更新
我有一个使用表单身份验证的ASP.NET 2.0 web应用程序(比如https://mysite.somedomain.com/)。我希望在本网站内集成一个ASP.NET 4.0网络应用程序,基于https://mysite.somedomain.com/NewApp/。Forms Auth正在开发外部应用程序,但内部应用程序拒绝cookie。
外部的web.config (ASP.NET 2.0) web应用程序包含:
<httpCookies requireSSL="true"/>
<authentication mode="
浏览 4提问于2012-01-13得票数 7
1回答
我正在开发一个使用表单身份验证的web应用程序。
<authentication mode="Forms">
<forms slidingExpiration="true"
loginUrl="~/User.aspx/LogOn"
timeout="15"
name="authToken" />
</authentication>
当我登录时,我看到浏览器中设置了这个cookie:
浏览 1提问于2010-07-29得票数 16
回答已采纳
我有一对网站,我正在用Asp.Net构建。在开发过程中,它们都在我的机器上。一个托管在IIS中,另一个托管在IISExpress中。我已经将两个网站都配置为使用FormsAuthentication,并在每个web.config中设置相同的身份验证和httpCookies元素:
<authentication mode="Forms">
<forms loginUrl="~/LogOn" timeout="2880" domain=".mydomain" />
</authentication&
浏览 0提问于2012-01-11得票数 2
回答已采纳
1回答
最近我把一个网站从一个主机移到另一个主机。
在移动之前,窗体身份验证正常工作,用户在各个会话中都保持登录。
移动之后,用户在看似随机的时间之后就会被注销。
我检查了网络流量,并将.aspxauth cookie发送到服务器。
我在本地调试了这个问题,并再次发送了cookie,但是它没有出现在Request.Cookies中。谷歌告诉我,这是因为如果ASP.NET不能解密.aspxauth cookie,那么它就会偷偷地从Request.Cookies集合中剥离出来。
谢谢
浏览 3提问于2015-06-27得票数 0
回答已采纳
1回答
我正在尝试在ASP.NET 4.0中实现一个具有me功能的登录表单。
我已经将web.config中的超时值选项设置为1年(525600),但是在登录后的随机时间之后,我总是会被注销。
cookie的创建是正确的,我可以在浏览器中看到它的正确的过期值(2014年9月),但是似乎过了一段时间,这个cookie不再被ASP.NET环境读取了。
我试着登录:
FormsAuthentication.RedirectFromLoginPage(username, true);
或者:
FormsAuthentication.SetAuthCookie(username, true);
Response
浏览 3提问于2013-09-15得票数 0
回答已采纳
3回答
我有几个托管在同一个IIS上的应用程序(不同的上下文根),这些应用程序都使用Microsoft.ASPNet.Identity 2.1 NuGet包进行保护。然而,目前,当我登录到其中一个应用程序时,下一次访问任何其他应用程序都会提示我再次登录。我不能一次登录多个应用程序。
我猜他们都在使用相同的cookie来存储登录令牌,所以当您登录一个应用程序时,它会重置cookie,这对其他应用程序的请求无效。
我有什么选择来解决这个问题?我不介意单独登录每个应用程序,那么每个应用程序都可以配置成使用不同的cookie吗?
或者,每个应用程序实际上都共享DB中的同一个用户表,因此可能会对其进行配置,以便
浏览 2提问于2015-06-23得票数 6
回答已采纳
我正在使用相同的域但不同的子域在.NET 2.0站点和.NET 4.0站点之间进行单点登录。在一台机器上的开发环境中一切正常,但是我不能让4.0生产站点接受2.0生产站点生成的auth cookie。这两个站点位于不同的服务器上,一个运行仅安装了2.0框架的IIS 6,另一个运行安装了4.0框架的IIS 7.5。我已经阅读了所有其他问题的答案,这些问题指出了<machineKey>元素和<authentication><forms>元素的问题,相信我,所有这些东西都设置得很正确,并且所有4个站点都有完全相同的元素属性值。
起初,我认为这是加密的问题,但当我仔
浏览 6提问于2012-05-22得票数 2
回答已采纳
1回答
我有一个ASP.NET MVC5应用程序,它具有为使用OWIN生成的启动配置。
用户登录到我的应用程序,保持浏览器打开,但是如果他第二天试图访问它,应用程序将用户重定向到登录页面。
我不能在我的开发人员机器上重现这个问题,它只发生在我当前的共享主机提供商上。实际上,它在我以前的提供者上是正确的。
应用程序池偶尔会重新启动一次,但根据我的经验,如果我手动进行循环,它不会导致令牌失效(据我所知,这应该是预期的行为)。
我尝试显式设置滑动过期并增加cookie的有效性,但没有产生任何效果:
// Enable the application to use a cookie to store info
浏览 2提问于2014-04-07得票数 6
回答已采纳
我们已经在Asp.Net平台上部署了Azure webforms应用程序,该应用程序由两个负载均衡的web服务器提供服务。Asp.Net会话由内存套现管理。
通常情况下,应用程序运行良好,但随机地它会挂起,如果我们尝试重新加载应用程序,浏览器不会处理请求,根本没有错误,连续加载。
使应用程序再次工作的唯一方法是从浏览器中删除此特定应用程序的COOKIES。这在Firefox和Chrome中都会发生,所以似乎不是浏览器特有的问题。cookie尤其不是很重,只有3个cookie,一个是asp.net会话cookie,另外两个用于持久化用户凭证。
App是关于实时聊天服务的,所以它每4秒轮询一次we
浏览 0提问于2013-04-09得票数 1
回答已采纳
我在一个asp.net mvc web应用程序上注意到,在web.config编辑之后,需要重新登录登录用户。我知道任何web.config更改都会导致应用程序池循环,并且有几秒钟的停机时间。我也知道会话状态被终止了,但是我们并没有将它用于持久变量存储。
但是我很好奇为什么用户需要重新登录呢?会话状态是否与身份验证相关联?窗体身份验证票证仍然有效。有什么想法吗?
var ticket = new FormsAuthenticationTicket(
1,
user.Email,
now,
toke
浏览 4提问于2014-04-10得票数 0
回答已采纳
1回答
我使用的是asp.net mvc 5和Identity2,标准的登录/密码认证,还有“记住我”复选框。
想象一下这样的情景:
用户登录(标准auth cookie)
申请已重新部署
用户需要重新登录。
问题:
部署后可以不重新登录吗?
有时,当您刷新页面时,在部署之后,需要授权访问--它正确显示,但如果您第二次刷新--它将重定向到登录页面。
所有这些都是在部署到IIS7时发生的,在IIS7上本地部署一切正常。
浏览 1提问于2015-04-22得票数 3
回答已采纳
我正在使用Asp.Net 2FA并部署在Azure上。我让它按照Identity 2.1项目的样例工作。当我登录时,我可以选择记住浏览器,系统会发送一个称为.AspNet.TwoFactorCookie的cookie。在随后的登录中,我不需要输入2FA代码。一切都很好。
但在新的部署中,我将部署到Azure上的登台区域,然后进行交换,交换生产和登台环境。如果我随后尝试登录,.AspNet.TwoFactorCookie将不再工作,并且我需要获取一个新的2FA代码。
但是,如果我再次交换,即生产恢复到原来的状态,.AspNet.TwoFactorCookie就会再次工作。
在解密cookie时,
浏览 1提问于2015-10-07得票数 0
我有两个ASP.NET应用程序托管在一个服务器上。它们的信任具有相同的machineKey值,身份验证部分如下所示:
<authentication mode="Forms">
<forms loginUrl="/_login/default.aspx" name=".MySingleAuth" />
</authentication>
<authentication mode="Forms">
<forms loginUrl="~/M
浏览 4提问于2010-11-30得票数 6
1回答
我有一个基于DNN (一堆DNN模块)的应用程序,并希望逐步将此应用程序迁移到普通的ASP.NET核心。(远离DNN)我只依赖DNN的用户管理和导航,其余的基本上都是纯ASP.NET网页表单。(或者更好:DNN中的Web用户控件)
我们的计划是创建一个全新的应用程序(不同的子域),并首先将我的用户管理迁移到.NET核心身份。用户将通过新应用程序登录,并需要在迁移期间在核心应用程序和DNN之间进行切换。我想使用新的基于身份的机制,并且必须使用户与基于DNN成员资格的表保持同步,直到我可以弃用最后一个DNN模块。
来自:看起来identity创建了自己的cookie,这与DNN完全不同。有没有人知
浏览 0提问于2017-04-02得票数 3
TL/DR:当我尝试在ASP.NET WebForms站点和ASP.NET MVC网站之间共享一个身份验证cookie时,我正经历一个HTTP-302重定向循环,这两个站点在单独的子域上提供服务。
详细信息
a.website.com -现有的WebForms站点。效果很好。
b.website.com -新的MVC站点,我正在尝试集成使用共享的cookie。
用户到达b.website.com,尚未通过身份验证。它们被重定向到.website.com/Login.aspx。
用户输入他们的用户名/密码。
用户被重定向到b.website.com上原来想要的页面。
b.webs
浏览 2提问于2018-10-03得票数 1
1回答
我正在使用ASP.NET Forms身份验证方法,并在machinekey标签中使用了特定的加密和解密密钥,并将slidingexpiration设置为true和20分钟超时。现在我有一个问题:如果有人偷了我的cookie,他/她可以用我的帐户在任何地方登录吗?(因为加密总是恒定的),如果答案是否定的,那么Cookie值在每个请求中是如何变化的?
谢谢
编辑:如果cookies在每次请求中都会发生变化,那么加密密钥存储在哪里?应用程序如何知道解密数据的密钥是什么?
浏览 2提问于2012-04-24得票数 2
最近,我的任务是在两个不同域名的网站之间创建一个单点登录。一个运行在ASP.NET下,另一个运行在经典的ASP.由于我几乎没有使用ASP.NET的经验(我是一个Java爱好者),也没有使用ASP的经验(加上已经过时了,我讨厌它),所以我遇到了很多困难。第一个问题是:如何将来自ASP.NET的身份验证cookie传递到ASP.NET web?
我找到了这篇文章,它似乎准确地描述了我所需要的:
但问题是,它使用的工具(例如,COM互操作性包装器、API等)假设了很多关于web开发的先验知识,并且很难从中找出一些东西。但是,我喜欢提取FormsAuthentication实用程序并将其用于遗留AS
浏览 0提问于2015-07-17得票数 0
1回答
例如,如果有人从星巴克登录到一台pc上,他们不小心选中了“记住我”选项,从而在那台pc上设置了一个永久cookie,那么有没有办法拒绝服务器上的cookie,而不用在web.config中更改cookie名称?
浏览 2提问于2011-03-08得票数 0
回答已采纳
1回答
我的应用程序基于单点登录技术。但是当我打开浏览器的开发人员工具时,它在cookies选项卡中同时显示了Asp.Net_SessionID和.ASPXAUTH。我想确保曲奇旗帜的安全。
我不确定我的应用程序是使用默认的ASP.Net会话ID还是窗体身份验证Cookie (例如,ASPXAUTH)。
如何识别主要登录cookie以及如何保护。有什么建议请提出来。
浏览 0提问于2017-09-01得票数 0
1回答
假设我们的intranet中有三个不同的cookie web应用程序,它们都有一个登录页面,并且在对用户进行身份验证之后,为经过身份验证的用户创建一个ASP.NET。是否可以使用一个页面作为登录页面,并从此处创建三个应用程序cookie,然后将用户重定向到所需的应用程序?
浏览 2提问于2010-08-03得票数 0
2回答
我有一个问题,不需要任何具体的答案,只是一个大致的方向做什么。我在一家有很多网站的公司工作。每个站点都需要在某个时候登录。我们有一个单一的帐户数据库,所有的网站都访问。
登录系统的要求之一是,如果我们在一个站点上登录,我们应该自动登录到其他地方。
它现在的工作方式是,在页面加载(或者init,忘记哪一个)在我们的任何站点(比如说site1.com)上,它重定向到一个“主”站点(比方说sitemaster.com)。在sitemaster.com上有一个web服务,它检查该用户在sitemaster.com上是否存在cookie。如果是的话,它会重定向回来,让site1.com知道用户已经登录了
浏览 4提问于2010-09-17得票数 2
回答已采纳
3回答
在ASP.NET中,我们通常会向web.config添加一个机器密钥,如下所示-
<machineKey validation="HMACSHA512" decryption="AES" validationKey="********" decryptionKey="******" />
有人能建议我如何在ASP.NET核心3.1中做同样的事情吗?
浏览 3提问于2020-09-07得票数 1
2回答
我创建了两个应用程序Asp.net 4网络应用程序。当我在第一个应用程序中创建一个用户并以该用户的身份登录,然后启动另一个应用程序时,我将作为该用户登录。在一个应用程序中,我创建了自己的成员提供者和角色提供者。我使用了表单身份验证。但这并不能解决我的问题。谁能告诉我为什么奥斯票适合两种不同的应用程序,以及如何解决这个问题?我不知道我应该显示代码的哪一部分。如果有人需要密码,请告诉我。
浏览 14提问于2014-04-03得票数 2
回答已采纳
1回答
我有两个应用程序,一个叫做www.domain.dk和一个m.domain.dk
它们都有一个登录函数(相同),但是如果您在m.domain.dk上登录并进入www.domain.dk,则需要记住您已经登录了。
问题来了..。
www抛出并错误地说它无法验证m站点设置的cookie数据,所以我开始调试代码,发现www加密FormsAuthenticationTicket时,加密的字符串比m站点长64个字符。
对于两个项目,web.config的以下部分是相同的
<machineKey validationKey="CF3D..." decryptionKey="A
浏览 4提问于2015-05-15得票数 1
回答已采纳
2回答
我有一个使用ASP.NET的网站,但是每次我发布一个新网站并上传全部或部分新的.dlls时,它会使所有现有的cookies失效。
cookies用于跟踪简单登录,但我希望保留发布前创建的cookies,以便它们在发布后仍然可用-这似乎会影响基于webkit的浏览器,在我的测试中,我可以在每次部分或完全发布后复制此问题。
下面是我用来设置Cookie的代码:
If HttpContext.Current.Response.Cookies(COOKIE_NAME) Is Nothing Then
Dim _cookie As New HttpCookie(COOKIE_NA
浏览 7提问于2011-02-09得票数 2
我有一个ASP.NET web应用程序"K“,它有自己的基于SimpleMembershipProvider的身份验证和授权。
现在,我想建立一个有应用程序"K“和DNN的网站,以用户登录DNN应用程序的方式,我在DNN应用程序中有一个按钮,可以跳转到app "K”。
在"K“中,我想实现这些行为。
如果用户未登录,请返回DNN的主页。
如果用户已登录,但在DNN中没有"K- user“角色,则显示”联系人管理员“消息。
如果用户登录并在DNN中具有"K- user“角色,则允许用户像往常一样使用该应用程序。
这是全新的网站,
浏览 1提问于2014-01-15得票数 0
回答已采纳
我们已经升级了两个ASP.NET MVC4 web应用程序到MVC5,为了使用SignalR 2.x,我们不得不在更新的应用程序中使用OWIN。这两个应用程序共享machinekey和authentication在web.config中的部分,如果用户在app1中登录,它们也会自动登录到应用程序2中:
<machineKey validationKey="<themachinekey>" decryptionKey="<thedecryptionKey>" validation="SHA1" decryption=&
浏览 0提问于2019-03-19得票数 1
回答已采纳
1回答
用户很快就会注销
、、
我正在使用ASP.NET身份成员资格。这是Startup.Auth.cs代码:
app.CreatePerOwinContext(EFDbContext.Create);
app.CreatePerOwinContext<ApplicationUserManager>(ApplicationUserManager.Create);
app.CreatePerOwinContext<ApplicationSignInManager>(ApplicationSignInManager.Create);
// Enable
浏览 1提问于2016-03-28得票数 6
1回答
我刚刚开始使用Umbraco,它的想法是让一个站点(运行在Umbraco下)具有另一个站点的文档。但前提是,除非您在主站点登录,否则您无法在文档网站上看到任何内容。
因此,在我的主站点上,当您登录时,您将得到一个.ASPXAUTH cookie。我需要在Umbraco端做些什么才能读取它并检查它的有效性(实际上,了解嵌入在cookie中的数据,例如,用户的身份现在并不重要),如果不有效(或者不存在),它应该将您重定向到主站点登录(我不想在Umbraco中重新创建相同的登录过程)。
有什么正确的方法来处理这件事?我已经看到了关于在Umbraco中创建MembershipProvdier的链接,但
浏览 13提问于2017-11-13得票数 3
1回答
我有两个ASP.NET 5 MVC 6应用程序。
一个在www.mydomain.tld运行,一个在world1.mydomain.tld运行。
如果用户登录到www子域的应用程序,我希望她也登录到world1子域的应用程序中。登录采用ASP.NET标识3实现。
我在Startup.cs中设置了两个应用程序,如下所示:
public void ConfigureServices (IServiceCollection services) {
// [...]
services.AddCaching();
services.AddSession(
opt
浏览 2提问于2015-07-17得票数 5
回答已采纳
如何从登录视图重定向到Django中的另一个域名,同时自动登录到新的域名?
我已尝试将HttpResponseRedirect中当前sessionid的cookie设置为新域。
还有别的办法吗?
如何登录domain1.com,然后跳转到domain2.com (域名指向同一ip)并被登录?
浏览 5提问于2015-02-14得票数 0
我有两个网站的自写会员提供者,是在同一服务器上的同一服务器,在不同的Web应用程序和不同的应用程序池的主机。
以前我有一个问题,那就是我不能同时登录两个网站。多亏了雷米的,现在,我不得不将name-attribute添加到forms元素中。
但是现在我遇到了一个问题,即asp登录控件的me me选项停止工作。用户在正常会话超时后被注销。
web.config文件中的身份验证-属性如下所示:
<authentication mode="Forms" >
<forms loginUrl="~/UserMgmt/Login.aspx" timeo
浏览 7提问于2011-01-18得票数 8
回答已采纳
我想加密我在cookie中使用的ID。我使用的是ASP.NET 4.5,所以我想使用MachineKey.Protect来完成它。
代码
public static string Protect(string text, string purpose)
{
if (string.IsNullOrEmpty(text))
return string.Empty;
byte[] stream = Encoding.Unicode.GetBytes(text);
byte[] encodedVa
浏览 4提问于2013-05-17得票数 28
回答已采纳
我有两个.NET C#项目。它们将部署在相同的域中,例如domain.com。
一个项目也是在几年内创建的。它使用的是.NET 4.0。让我们称之为MAIN_1,这个项目使用另一个外部项目对用户进行身份验证,这个项目甚至更旧(.NET 3.5)。我们叫它AUTH_PROJ吧。我正在使用MVC4和.NET 4.5在VS2012中创建一个新项目。让我们称其为MAIN_2。MAIN_1和MAIN_2将部署在相同的域中(例如domain.com)。我的目标是让用户在MAIN_1中登录,并在MAIN_2中进行身份验证。我在网上搜索,发现这个帖子非常有趣,也很有用户性。我通过在VisualStudio20
浏览 2提问于2013-01-18得票数 4
回答已采纳
我们的项目最近要实现单点登录,我了解到了一些单点登录的方法和产品,CAS正是我想使用的,但我们成员的一些问题我无法回答,希望当局能在这里提供帮助:
由于WebApp服务器TGT cookie存储在浏览器中,一旦被盗或被复制到其他机器上,只要TGT未过期,其他人也可以登录该cookie。
那么,有什么方法可以防止这种情况发生吗?或者我应该如何考虑这个scennaro?
此外,cookie共享sso (例如nginx组合的Webapp A和B)和CAS有什么本质区别,因为它们都是基于cookie的?
浏览 10提问于2016-09-07得票数 0
回答已采纳
1回答
我正在用身份2.0在MVC 5中重写我的MVC 4表单认证应用。
目前,该站点正在使用专有的单点登录方法来解密来自POST请求的传入参数,并且基于内容的有效性,它使用FormsAuthentication.SetAuthCookie设置身份验证cookie,并将用户重定向到受保护的内容。
既然我正在使用ASP.Net标识,那么对FormsAuthentication.SetAuthCookie功能的适当替代是什么呢?请记住,我不想将这些用户中的任何一个持久化到数据库中。它们应该只存在于它们的令牌/cookie中。
浏览 1提问于2015-04-30得票数 5
回答已采纳
我们已经使用visual 2013 apache Cordova工具开发了一个iOS应用程序,并使用web API (ASP.net web API 2)向服务器进行身份验证。access_token到期日期设置为默认的14天,但是,在几个小时后,此令牌将到期并发送未经授权的访问错误。目前令牌和用户名存储在本地存储中。
public void app( app.CreatePerOwinContext(ApplicationDbContext.Create);app.CreatePerOwinContext(ApplicationUserManager.Create);){ //将数据库上下文
浏览 1提问于2015-07-12得票数 0
1回答
规范:
MVC 4剃须刀
C#
IIS
7.5
使用yaf-
.NET 4
发生什么事了?
我有一个网站:和那个网站,我已经设置了YAF,当用户访问时,他们会被带到论坛。
我想要什么?
当用户登录到我的网站时,我想为他们创建一个cookie,这样当用户访问时,他们就会自动登录到论坛中。
我做了什么?
当用户在我的网站上注册时,会为他们创建一个YAF帐户(工作正常)。当用户登录到我的站点时,我对他们进行身份验证并创建一个cookie,但我也希望为论坛创建一个cookie,这样用户就不必单独登录论坛。
要为用户创建cookie,我要这样做(以便YAF在登录时检测到它
浏览 2提问于2013-07-29得票数 1
回答已采纳
我有一个在Windows2008 R2 (IIS7.5)上运行的Asp.Net web应用程序。我有两个服务器WWW1和WWW2,并且为"www“的循环DNS设置了DNS记录。我增加了AppPool超时和会话状态超时设置,这样用户在20分钟后就不会被注销。然而,我注意到用户是随机注销的。我认为发生的情况是用户转到www.foo.com并登录,然后一段时间后,循环调度会将他们导航到集群中未创建cookie的相对服务器(WWW1或WWW2),因此会提示他们登录。
我如何使用轮询DNS使其正常工作,同时仍然保持高可用性解决方案?
浏览 0提问于2013-01-23得票数 1
回答已采纳
1回答
我们正在处理一个漏洞,其中来自一个站点的表单身份验证可以在单独的站点中使用。我不知道IIS或ASP.NET是如何允许这种情况发生的
步骤:
以用户"admin“身份登录到site1.domain.com
保存authetication cookie值
转到site2.domain.com并使用"EditThisCookie“扩展创建步骤2中的匹配身份验证cookie
提交以绕过站点2‘S身份验证使用site2 1’S cookie (登录为“管理员”在site2上)。证实我正在查看第2‘S的数据-不是某种别名的site1)
环境:
1 IIS服务器(Windows 2016)
浏览 0提问于2019-05-23得票数 2
回答已采纳
在哪里可以找到用于machineKey的ASP.NET配置部分?
我的应用程序Web.config中没有一个,根Web.config中没有一个,我的machine.config中也没有一个。
这是否意味着还有一些其他的默认硬编码到ASP.NET中?如果是,默认值是什么?(对于.NET 2和4)
看过这篇文章后:
我本来想在某个地方找到这样的东西
<machineKey
validationKey="AutoGenerate,IsolateApps"
decryptionKey="AutoGenerate,IsolateApps"
/&
浏览 4提问于2010-09-21得票数 24
回答已采纳
我有以下结构
www.website.com -> ASP.NET 4.0网站
www.website.com/blog ->NET4.0,Web-应用程序
两者都对同一个SQL数据库执行表单身份验证,并使用框架ASP.NET成员资格和角色。我可以很好地登录每个部分(相同的用户/密码),但是身份验证不会继续--也就是说,如果我登录到/,然后单击指向/blog/的链接,/blog/会认为我是匿名的,并提示再次登录。我做过基本的工作
即
站点和应用程序web.configsIdentical <machineKey>部分中的完全相同的<authentication m
浏览 6提问于2011-10-08得票数 2
回答已采纳
我在IIS7.5上部署了两个MVC4应用程序。我希望在所有这些网站上实现单点登录。我在两个应用程序中都有以下web.config设置-
<authentication mode="Forms">
<forms loginUrl="~/Account/Login" enableCrossAppRedirects="true" path="/" name=".MVCAuthCookie" timeout="45" defaultUrl="/" slid
浏览 3提问于2014-05-12得票数 0
我使用的是角+ Asp.net Core3.1WebAPI,它与OpenIDConnect集成,使用Cookie身份验证,用于单点登录(OneLogin).I不使用标识。在IIS (相同域)的Asp.net核心上发布same。在Startup.cs中配置的Cookie过期时间为7小时。我面临的问题是随机(大部分是空闲时间),下面的请求--任何处理HttpContext.User对象的请求--都需要大量的时间在生产上执行(比如42 s)。有人能帮忙吗?
[Route("isAuthenticated")]
public IActionResult IsAu
浏览 5提问于2022-03-29得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
