我为我的ASP.Net网站编写了一个自定义成员资格提供程序。
我正在使用默认的Forms.Authentication重定向,其中您只需将true传递给该方法即可告诉它为当前用户“记住我”。
我认为这个函数只是在本地计算机上写入一个包含用户登录凭据的cookie。
ASP.Net在这个cookie中放了什么?如果我的用户名格式已知(例如顺序编号),是否有可能有人可以轻松复制此cookie,并通过将其放在自己的计算机上以另一个用户的身份访问该站点?
此外,我需要能够拦截具有cookie的用户的身份验证。由于他们上次登录以来,他们的帐户可能已被取消,他们可能需要更改密码等,因此我需要选择拦截身份验证,如果一切仍然正常,则允许他们继续或将其重定向到适当的登录页面。
我将非常感谢关于这两个问题的指导。我收集到的信息是,对于第二个问题,我可能可以在global.asax中放置一些内容来拦截身份验证?
提前致谢。
我正在使用默认的Forms.Authentication重定向,其中您只需将true传递给该方法即可告诉它为当前用户“记住我”。
我认为这个函数只是在本地计算机上写入一个包含用户登录凭据的cookie。
ASP.Net在这个cookie中放了什么?如果我的用户名格式已知(例如顺序编号),是否有可能有人可以轻松复制此cookie,并通过将其放在自己的计算机上以另一个用户的身份访问该站点?
此外,我需要能够拦截具有cookie的用户的身份验证。由于他们上次登录以来,他们的帐户可能已被取消,他们可能需要更改密码等,因此我需要选择拦截身份验证,如果一切仍然正常,则允许他们继续或将其重定向到适当的登录页面。
我将非常感谢关于这两个问题的指导。我收集到的信息是,对于第二个问题,我可能可以在global.asax中放置一些内容来拦截身份验证?
提前致谢。