【译】Asp.Net Identity Cookies 格式化

  • 时间:
  • 浏览:1
  • 来源:大发3D_大发3D官网

管道中的下一步有日后加密。加密操作由 .Net 类库中的DpapiDataProtector提供。愿意在MSDN上阅读相关文档。我不选则加密的时延单位。文档中说目标参数事实上是那我密码列表。现在我在OWIN中看一遍了那我地方愿意在这里设置你被委托人的加密密码,有日后我看一遍这里主密码是“Microsoft.Owin.Security.IDataProtector”。什么都 我的猜测是安全的信息不应该被贴到 cookie里,比如:别把连接字符串贴到 claim里!(注:这里的翻译不可能 不准确,建议此段参考阅读原文)

反正,那我 的有哪些的现象:“为有哪些在不同浏览器中的cookies是不同的?”的答案是:不可能 签名中中有 cookie的创建信息和过期时间,这在不同浏览器中是不同的,什么都 cookie中的加密信息也是不同的,什么都 cookie也是不同的。

所有的过程如下图所示

最后一步中有 什么都 动作,当我们歌词 歌词 再深入些。

幸运的是,外理cookie的代码就在开源的 Katana Project 中。

我的读者联系到我,并向我提出了一系列关于 AspNet Identity的有哪些的现象。一现在现在结束 我虽然 有有哪些有哪些的现象日后 比较简单,我愿意够轻松的回答他,但结果表明,这底下的每那我有哪些的现象都值得写一篇单独的文章。什么都 我会写那我Mini系列关于Identity框架的“Q-A(问与答)”博客。

认证票据由TicketSerializer进行序列化。这里ClaimsIdentity被写入内存流:中有 什么都属性和那我claim列表。有日后AuthenticationProperties(包括cookie 设置,过期日期)也被写入了内存流。有日后内存流被GZip压缩,以备接下来的外理。

下面有日后用户登录是cookie的创建过程

Next step in the pipeline is encryption. Encryption is borrowed from .Net class DpapiDataProtector. You can read documentation on MSDN. I’m not sure about the strength of the encryption. The documentation says that purpose parameters are effectively a list of passwords. And now here I’ve seen in OWIN where you can set your own encryption password and I can see that the main password is set to “Microsoft.Owin.Security.IDataProtector”. So my guess would be that no secure information should go into cookie, i.e. don’t put your connection strings into user claims!

在加密事先,字节流使用Base64编码以易于网络传输。最后准备好以守候被设置到Http响应的cookie眼前 。

第那我有哪些的现象是关于Cookie安全Token以及它是怎么才能 才能 被计算(computed)出来的:不可能 同那我用户在 Chrome 和Firefox中登陆,那末 Identity Framework 在Cookie中创建token,token中有 相同的信息(用户Id、 Security Stamp、等等),有日后缘何么这那我Cookie是不同的?

中英对照版

原文出处

Trailmax Tech

Max Vasilyev: ASP.Net MVC development in Aberdeen, Scotland

我思考了一下,我猜 cookie创建信息和过期信息被编码在了cookie中,不可能 还有cookie的这一 签名信息也被同时保存了。我虽然 我猜的很接近答案。