我正在使用ASP.NET Forms身份验证方法,并在machinekey标记中使用某些加密和解密密钥,并将slidingexpiration设置为true,并将20分钟超时。 现在我有一个问题: 如果有人偷了我的cookie,他/她可以在任何地方登录我的帐户吗? (因为加密总是不变的) 如果答案是否定的,那么每次请求中cookie值如何变化?
由于
已编辑:如果cookie存储在加密密钥存储的每个请求中?以及应用程序如何知道解密数据的关键是什么?
答案 0 :(得分:2)
Cookie包含Forms身份验证票证。使用滑动身份验证,可以使用服务器检查的任何请求更新故障单中存储的日期。这就是为什么你会看到cookie值发生变化的原因。
cookie(或票证)很容易被盗,当然可以用来劫持会话。有关详细信息,请参阅此Microsoft article。