这是一个一般问题,因为我被用来存储在会话中的用户对象,并且我正在学习新的身份框架。
我看到很多关于将"索赔"作为饼干的人。因此,这样您就不必重新查看用户信息,含义诸如姓名,电子邮件甚至权限之类的内容是饼干中保存的索赔区域的一部分。
我对此进行了所有研究,在被黑客入侵方面,SSL上的httponly非常安全。我犹豫要发送以外的任何东西以识别用户,然后在数据库中查找其余的,以确保至少如果用户被黑客入侵,则不会被黑客入侵。我谨慎吗?
我还看到人们设置了饼干在7天或1天的ECT中到期...就此而言,您正在索赔区域中的权限/角色。如果他们在服务器上更改会发生什么。基本上,似乎用户需要登录和注销,以便进行新的权限。想知道软件UI标准的规范期望吗?
预先感谢您的想法:)
angela
宽恕我的无知,但是我没有遇到一个软件,其中索赔会以cookie发送。通常,cookie的问题是XSS(跨站点脚本)攻击的可能性,因为浏览器被编写为始终发送它们。
如今人们倾向于使用的是使用联合身份验证机制,即身份提供商(登录页面)和服务提供商(应用程序代码)不一定是同一应用程序,并且并不总是直接连接。这意味着您可以在DB中查找的用户数据仅在IDP中存在,而SP必须处理IDP提供的任何内容。
这就是为什么在"索赔"中发送每个信息的原因。这意味着IDP声称用户名是John.smith,但SP可能没有任何检查。
为了使其正常工作,IDP和SP应该建立了某种形式的信任,通常以预共享签名键的形式,该键允许IDP签名令牌(例如SAML信封或JWT)和SP验证签名能够检查令牌是否尚未篡改。
通常,这个令牌永远不会用作cookie。相反,它通常使用Bearer方案添加到Authorization标头中。
另外,作为旁注 - 当您说自己熟悉使用会话时,您必须了解会话跟踪器也是cookie(in asp.net)。该服务器具有有关存储在应用程序池内存缓存中的用户的信息,并且浏览器不断发送cookie说"我在这里"。因此,在安全方面,仅使用cookie或使用cookie session之间的级别是可比的。当然,有人可能会说cookie可能会泄漏信息,但是应用程序总是可以将数据归为数据或对整个cookie否定了这一参数。