标签: asp.net asp.net-mvc security
我对与ASP.NET应用程序相关的安全性感兴趣。当我开发我的网站时,我广泛使用User.Identity.Name值来识别用户。我想知道是否有可能修改请求,以便客户端可以更改此值并成为其他用户。如果是这样如何识别用户以及如何安全区分超级用户?
User.Identity.Name
答案 0 :(得分:1)
是的,您可以依赖此值。 ASP.NET的整体安全性依赖于它。它存储在加密的cookie中,只能由应用程序解密。如果恶意用户试图用另一个用户名替换此cookie的值,他将无法加密cookie,因为他没有机器密钥。