asp.net 使用 requireSSL 并且仍然能够检查用户是否在非 SSL 页面上进行了身份验证

Question

我有一个带有混合 SSL 的 Web 应用程序 (asp.net 3.5)。所有帐户相关页面均通过 SSL 传送。大多数其他页面都是通过非 SSL 传递的。为了在 HTTPS 和 HTTP 之间自动切换，我使用此组件。最近有一条新闻报道了在不安全的 Wifi 网络上劫持用户会话的能力。这应该可以通过捕获通过非 ssl 连接传输的 Cookie 来实现。

这促使我重新审视我在此 Web 应用程序中的安全选择。我（再次）从 MSDN 中获取了这篇文章并尝试了我的 Formsauthentication 上的 requireSSL=true 属性。在我启动 Web 应用程序之前，我意识到我的 User.Identity 在非 SSL 页面上将为空，因为包含此信息的 cookie 不会从 Web 浏览器发送或发送到 Web 浏览器。

我需要一种通过 SSL 连接对用户进行身份验证的机制...并记住此身份验证信息，即使在非 SSL 页面上也是如此。

在搜索时，我发现了这篇文章。在我看来，这是一个很好的解决方案。但是，我想知道是否可以找到将登录信息存储在Sessionstate中的解决方案？我正在考虑捕获 Global.asax 中的 Application_AuthenticateRequest 。检查连接是否安全并检查 authcookie 或 Session。我还不知道我将如何实现这一点。也许你可以和我一起思考一下这个问题？

Answer 1

不幸的是，您的要求是相互冲突的。您无法通过非 SSL 进行安全会话，因此我想挑战您的基本假设：为什么不让整个网站都使用 SSL？

Answer 2

来自 MVC FAQ（安全专家 Levi 回答的类似问题），要求属性不使用 SSL。

• [RequireHttps] 属性可用于控制器类型或操作方法，表示“只能通过 SSL 访问”。对控制器或操作的非 SSL 请求将被重定向到 SSL 版本（如果是 HTTP GET）或被拒绝（如果是 HTTP POST）。如果您愿意，您可以重写 RequireHttpsAttribute 并更改此行为。没有内置的 [RequireHttp] 属性可以起到相反的作用，但如果您愿意，您可以轻松创建自己的属性。

还有 Html.ActionLink() 的重载，它采用协议参数；您可以明确指定“http”或“https”作为协议。这是有关此类重载的 MSDN 文档。如果您未指定协议或者调用没有协议参数的重载，则假定您希望链接具有与当前请求相同的协议。

我们在 MVC 中没有 [RequireHttp] 属性的原因是它没有太多好处。它不像[RequireHttps]那么有趣，而且它鼓励用户做错误的事情。例如，许多网站通过 SSL 登录，并在登录后重定向回 HTTP，这绝对是错误的做法。您的登录 cookie 与您的用户名 + 密码一样保密，现在您可以通过网络以明文形式发送它。此外，在 MVC 管道运行之前，您已经花时间执行握手并保护通道（这是使 HTTPS 比 HTTP 慢的主要原因），因此 [RequireHttp] 不会发出当前请求或将来的请求请求速度更快。