为每个用户生成不同AntiForgeryToken的方法是什么

Question

我正在使用带有 Razor 视图引擎的 MVC3。

我需要为每个用户生成不同的 AntiForgeryToken。

我正在考虑生成一个唯一的盐值，并在用户注册时将其存储在用户表中，并使用该盐来生成令牌，但是如何将该盐值绕过到属性ValidateAntiForgeryToken 。我认为我需要定义一个自定义属性，但我不知道如何进行（通过访问用户信息来使用盐值）。

提前致谢。

Answer 1

如果您想要不同的盐，那么您需要从现有代码中推出自己的盐或提出一个新方案。

但请记住，这些令牌已经是特定于用户的。以用户 A 身份登录的某人无法使用用户 B 会话中的令牌。

另请注意，它们不是一次性使用的令牌，那么您想在这里阻止什么？使用户 A 无法为用户 B 生成一个吗？再次 - 请记住用户 a 没有以用户 b 身份登录，因此如果这是伪造的，当前完成的检查将会失败。

Answer 2

这是一个非常相似的问题，有一个很好的解决方案：
ValidateAntiForgeryToken Salt 值的运行时加载

基本上，您只需要创建一个 属性，它包装了 ValidateAntiForgeryToken 属性的功能，在运行时使用自定义盐值。

该解决方案的另一件伟大的事情是：该属性可以在控制器级别应用，自动应用于所有 POST 方法。

但是，正如其他人所说，MVC AntiForgeryToken 实现已经使用用户名来生成令牌，因此除非您别有用心，否则这样做不会为您带来任何好处。