使用 Windows 身份验证进行会话管理

Question

在 ASP.NET Web 应用程序中，使用集成 Windows 身份验证，会话是否与 Windows 身份相关联？
换句话说，如果我登录（使用 IWA）该应用程序，并且该应用程序在我的会话中存储了一些“内容”，那么这些内容是否可以单独通过会话 ID 访问？例如，如果恶意者设法窃取了我的会话 ID，但没有窃取我的凭据，那么他可以访问我的会话内容吗？或者此会话是否只能由相同的身份访问，需要两者会话 ID 和 Windows 身份才能访问它？

Answer 1

很好的问题。在写这个答案之前，我刚刚进行了测试以确认。

如果我是“A 人”，而您是“B 人”，那么将会发生以下情况：

• A 人使用 IWA 登录网站，并被分配一个会话 ID（例如，在 url 中），
• B 也如此以自己的身份登录网站（因此必须进行身份验证）
• 人员 A 向人员 B 发送包含会话标识符的 url 链接
• 人员 B 单击该链接，他们会使用人员的会话详细信息直接进入网站A

请注意，网站仍将人员 B 识别为“人员 B”，即使他们正在使用人员 A 的会话详细信息。因此，如果您有检查用户权限等的代码，那么这些检查仍然是在人员 B 的上下文中完成的。

这听起来可能是一个大问题，但只要程序员不粗心，问题就不是真的。例如，B 在我上面的测试中获得的唯一效果是他们继承了 A 设置的屏幕和网格布局，因为我们实时进行权限检查（即它们不被缓存）。如果您在会话中存储敏感数据，那么这可能是一个问题，但只有当显示这些数据的字段每次显示时都没有进行权限检查时，这才是问题。仅当 A 的会话尚未过期时，这才会成为问题。