c# - mvc - Seguridad de cookies de reclamos en la identidad de ASP.Net
implement identity asp net (2)
Como escribió Oleg, el cifrado de cookies estándar se considera seguro.
La discusión aquí < Servidor de reclamaciones del lado del servidor con la autenticación de Owin > también podría ser interesante.
La forma en que lo entendí al leer en toda la red, es que los reclamos se almacenan como cookies, ahora agrego los roles de los usuarios a la colección de reclamos y, por lo tanto, se guardarán en el cookie de reclamos. Ahora, esto es genial, ya que me ahorraría el disparo redondo a la Base de datos para recuperar el rol del usuario cada vez que tengo un Atributo de Autorización para verificar en mi ASP MVC
Controller.
- ¿Es esto seguro?
- ¿Se puede descifrar la cookie si es robada?
- ¿Existe alguna alternativa para no guardar las notificaciones en Cookie y guardarlas en el servidor? ¿Es esto eficiente o me preocupa mucho?
Las cookies son prácticamente la forma estándar de mantener una sesión de autenticación para un sitio web. A menos que use un mecanismo de cocción, que transmite la sesión como una cadena de consulta y se muestra que es menos seguro. Ya sea que almacene reclamos en la cookie o no, todavía está confiando en el mecanismo de seguridad de la cookie para mantener la identidad del cliente entre los resultados de la página. El mecanismo ha existido durante años y se considera seguro siempre que siga las pautas de implementación de Microsoft.
Suponiendo que esté utilizando .NET 4.5 o .NET 4.0 con las bibliotecas WIF, puede almacenar las reclamaciones en el servidor y no enviarlas en la cookie. Aquí hay algo de documentation básica. Por lo general, se recomienda si tiene muchos reclamos y la cookie se vuelve demasiado grande para cargar en cada página.