ASP.NET SSL 身份验证票证安全吗？

Question

我打算在登录表单上使用 SSL，以便在用户登录期间对用户名和密码进行加密。

但是，在用户经过身份验证后，如果我返回 HTTP，则每次请求时身份验证 Cookie 都会从客户端传递到服务器。这有多安全？显然，我将在用户输入敏感信息的页面上使用 SSL，但在大多数情况下，出于性能原因，我只希望它们保持身份验证并使用 HTTP。

我注意到，如果我在 web.config 的表单身份验证部分中设置 RequiresSSL="True"，那么如果我使用 HTTP，则不会通过身份验证 cookie，因此我无法识别当前用户。

我想我的问题是：

“设置 RequiresSSL="false" 并允许身份验证 cookie 通过 HTTP 传递是不是不好的做法”？

Answer 1

如果您设置 protection="All"，表单身份验证 cookie 会被加密并使用服务器的机器密钥进行校验，因此返回到 HTTP 并不是特别糟糕。