How ASP.NET authentication ticket is encrypted?
我正在使用ASP.NET窗体身份验证方法,并在machinekey标记中使用特定的加密和解密密钥,并将slidingexpiration设置为true和20分钟超时。现在我有一个问题:如果有人偷了我的饼干,他/她能在任何地方用我的帐户登录吗?(因为加密总是恒定的)如果答案是否定的,那么每个请求中的cookie值是如何变化的?
谢谢
编辑:如果每个请求中的cookie都发生了变化,那么加密密钥存储在哪里?应用程序如何知道解密数据的密钥?
饼干握着表格认证票。通过滑动认证,在票据中存储的日期可以随服务器检查的任何请求而更新。这就是为什么你会看到饼干价值的改变。
饼干(或车票)对他们来说是易碎的,而且肯定可以用来隐藏一次会议。See this Microsoft article for more information.