이것은 사용자 개체가 세션에 저장되는 데 익숙한 새로운 질문 프레임 워크입니다.보안 : SSL을 사용하는 ASp.NET ID HTTPOnly 쿠키
나는 "클레임"을 쿠키의 일부로 보내는 것에 관해 많은 이야기를 보았습니다. 그렇게하면 사용자 정보를 다시 검색 할 필요가 없습니다. 이름, 전자 메일 또는 권한과 같은 내용은 저장되는 쿠키의 클레임 영역 중 일부입니다.
내가 다 공부 한 모든 것은 SSL을 통한 httpOnly가 해킹당하는 측면에서 매우 안전하다고 말합니다. 나는 사용자 ID를 보내기 위해 아무 것도하지 않는 것을 잊지 만 사용자를 식별 한 다음 DB에서 나머지 사용자를 찾아 적어도 사용자가 해킹 당하면 권한이 해킹되지 않도록합니다. 과도하게 조심 스럽습니까?
쿠키를 설정하는 사람이 7 일 또는 1 일 동안 만료되는 것을 보게됩니다 ... 그 점에 대해서는 클레임 영역에서 권한/역할을 보냈습니다. 서버에서 변경되면 어떻게됩니까? 기본적으로 사용자가 로그인하여 로그 아웃해야 새로운 권한이 발생할 수 있습니다. 소프트웨어 UI 표준에 대한 표준 기대치가 궁금한가요? 당신의 생각에 미리
감사합니다 :)
안젤라
@zaitman, 시간을내어 주셔서 감사합니다 :) 나는 토큰과 인증 헤더를 조사하여 같은 것을 발견했습니다. 사용자가 모든 요청을 다시로드 할 필요가 없도록 사용자 권한을 "페이로드"에 추가하는 것을지지합니다. Cookies 대 Authorization 헤더까지. 필자의 이해에서 인증 헤더는 XSS로 해킹 될 수 있습니다. 왜냐하면 클라이언트 쪽에서 읽을 수 있기 때문입니다. 클라이언트 쪽에서 읽을 수 있기 때문에 암호화하고 인증을위한 서명을 제공합니다._request.getResponseHeader (name)를 수행 할 수 있습니다. HTTPOnly 및 SSL을 사용할 때 쿠키를 읽을 수 없습니다. –
@Angela 클라이언트를 위해 이러한 쿠키를 읽을 수 없게하는 것은 분명히 지침이지만,이 특정 구현 세부 사항은 클라이언트 작성자의 재량에 달려 있습니다. 예 : iOS WebView에서는 네이티브 코드에서 쿠키에 쉽게 액세스 할 수 있습니다. 토큰은 브라우저와 관련이없는 상호 작용이 필요한 경우에 보편적으로 사용할 수 있으므로 유용합니다. 코드 흐름 또는 새로 고침 토큰 흐름 그들은 어떤면에서든 '더 나은'것은 아니며 실제로는 안전하지 않으며, 추가 메커니즘을 제공하고 사용자가 외부 계정으로 로그인 할 수 있도록하는 것이 가장 좋습니다. – zaitsman
표준/표준은 토큰이나 쿠키에 사용 권한을 전달합니까? 그물에 사람들은 사용자 데이터를 통과시키기 위해 토큰으로 옹호하고 있으므로 이후의 전화를 다시받을 필요가 없습니다. 나는 쿠키와 함께 똑같은 것을 본다. 어쩌면 나는 오래된 타이머이지만 해킹당한 경우에는 분명히 해치울 권한을 열지 않으려 고 생각합니다. 어쩌면 그들은 사용자를 얻지 만, 적어도 그들은 허가를 받아 들일 수 없다. 따라서 서버에 매번 DB 호출을 강제로 수행하여 해당 사용자에 대한 작업을 수행하기 전에 권한을 얻습니다. –