sécurisation de jeton d'authentification de formulaires ASP.NET côté client?

Sur mon site Web, je n'utilise aucune authentification ou autorisation. J'ai créé une page de connexion pour capturer les informations d'identification de l'utilisateur et vérifier par rapport à la base de données. Si l'utilisateur s'authentifie avec succès, il stocke les données utilisateur en session et navigue vers d'autres pages. Comment penser à implémenter l'authentification par formulaire, mais je me demande comment sécuriser le jeton d'authentification dans le navigateur client pour des raisons de sécurité. Est-ce que quelqu'un a des idées pour sécuriser le jeton d'authentification?sécurisation de jeton d'authentification de formulaires ASP.NET côté client?

Source

2010-07-16 lourdhu

Session:
Fast, Scalable, and Secure Session State Management for Your Web Applications

Authentification:
How To: Protect Forms Authentication in ASP.NET 2.0

Étape 1. Configurer

Assurez-vous que vos formulaires Authenti cation les tickets sont cryptés et l'intégrité vérifiée en réglant protection = "Tous" sur l'élément. Il s'agit du paramètre par défaut et vous pouvez afficher ce dans le fichier Machine.config.comments.

<forms protection="All" ... />

Étape 2. Utilisez SHA1 pour HMAC génération et AES pour le chiffrement

<machineKey 
    validationKey="AutoGenerate,IsolateApps" 
    decryptionKey="AutoGenerate,IsolateApps" 
    decryption="Auto" 
    validation="SHA1" />

Étape 3. Protéger l'authentification avec SSL Billets

<forms loginUrl="Secure\Login.aspx" 
     requireSSL="true" ... />

Source

2010-07-16 16:07:18

alors comment pour protéger le jeton d'état de session des cookies dans le navigateur client? – lourdhu

J'ai ajouté une référence pour les informations sur l'état de la session. –

sécurisation de jeton d'authentification de formulaires ASP.NET côté client?

Répondre

Questions connexes