防止 ASP.Net MVC 中的 Cookie 重放攻击

Question

我的任务是实现本文中的第 4 点：http://support.microsoft.com/kb/900111

这涉及使用会员资格提供程序在用户登录和退出时向服务器端记录添加注释，然后确认当使用 cookie 进行身份验证时，用户尚未退出。这对我来说非常有意义。开始崩溃的地方是我们当前不使用会员资格提供程序，因此我似乎面临重新实现所有身份验证代码以使用会员资格提供程序。目前，我们在控制器中检查身份验证，并在知道用户存在后调用 FormsAuthentication.SetAuthCookie()。强迫会员提供商加入需要做很多工作。

所有这些工作真的有必要吗？我可以将自己的 cookie 值键值存储滚动到已登录的用户，并确保在用户点击注销按钮时清除此值吗？如果这看起来不安全，是否有一种方法可以实现最小的会员资格提供程序，以便在不将所有身份验证代码移交给它的情况下进行这些检查？

我想我的主要问题是，我们很久以前就决定会员资格提供商模型不适合我们用于锁定和解锁帐户的模型，因此选择不使用它。现在我们发现 MS 的建议特别提到了会员提供商，并且由于这是安全性的，我需要确保不按照他们的建议使用它不会造成麻烦。

Answer 1

我可以推出自己的键值存储吗
登录用户的 cookie 值和
只要确保我清除这个当
用户点击注销按钮。

是的，你可以这样做。会员提供商保留一小组有关用户的数据（用户名、电子邮件、密码、上次登录、丢失密码问题、丢失密码答案等）。

如果您不想改造会员提供商，我会采取您提到的方法。无论信息是写入 aspnet_Users 表的注释字段还是您自己的表中的位字段，都应该没有任何区别。

您可能还需要考虑将接口设置为您的会员/身份验证代码。然后，您可以在更方便的时候将当前代码替换为会员提供程序实现。

Answer 2

我发现 MembershipProvider 非常有帮助。它允许我作为开发人员针对本地用户数据库使用 SQLMembershipProvider，然后当我将其转移到生产环境时，只需使用 ActiveDirectoryMembershipProvider，并且我不必更改一行代码（除了我的 web.config 中的代码）文件）。

使用他们的 CustomMembershipProvider，您可以重载任何身份验证方法，并在这些方法中执行您想要的任何其他检查。

如果您决定跳至 MembershipProvider 计划，我认为您不会后悔。短期内可能会很痛苦，但从长远来看，我认为你会看到它得到回报。由于您已经在控制器中编写了很多身份验证代码，也许将其融入 MembershipProvider 使用它的方式中并不难？

...是否有一种方法可以实现最小的会员资格提供程序，以便在不将所有身份验证代码交给它的情况下进行这些检查？

MP 是最好让它做它最擅长的事情的时候之一。如果你尝试在这里只使用它的一部分，在那里使用它的一部分，虽然可能，但会在以后引起一些麻烦。它知道自己应该做什么，并且规避它虽然可能，但需要额外的工作，而这些工作可能最终是不必要的。