在ASP.NET 4中,默认哈希算法更改为HMACSHA256。我知道解密密钥用于表单身份验证和新的ASP.NET Identity cookie身份验证。除了Web Forms中的Viewstate验证之外,验证密钥是否还用于其他任何用途?原因是我们在许多应用程序中使用静态机器密钥,并且仍在使用SHA1进行验证。
MachineKey.Protect
函数的行为以及相应的Unprotect函数。该API允许开发人员保护任意值。MVC框架利用此功能生成反跨站请求伪造令牌,因此更改验证密钥将影响CSRF令牌的生成和验证。