Bir ASP.NET web uygulamasında, Tümleşik Windows Kimlik Doğrulaması'nın kullanılması, pencere kimliğine bağlı oturum nedir?
Başka bir deyişle, uygulamaya (IWA kullanarak) giriş yaptım ve uygulama oturumumda bazı "şeyler" kaydediyorsa, bu içeriğe yalnızca oturum kimliği tarafından erişilebiliyor mu? Örneğin, kötü niyetli biri oturum kimliğimi çalmayı başardıysa, ancak kimlik bilgilerimi DEĞİL, daha sonra oturumlarıma erişebilir mi? Ya da bu oturum sadece numaralı oturum kimliğini ve buna erişmek için windows kimliğini gerektiren, aynı kimliğe erişebilir mi?Windows Kimlik Doğrulaması ile Oturum Yönetimi
cevap
Mükemmel bir soru. Bu cevabı yazmadan önce onaylamak için bir test yaptım.
-
IWA kullanan web sitesinde
- Kişi A günlükleri, bir oturum kimliği atanır (i 'A Kişisi', ve sen 'Kişi B' ise
, o zaman bu durum neler olduğunu örneğin, url) içinde
- Kişi B ayrıca kendileri olarak web sitesine giriş yapan (böylece
- Kişi bir Kişi B bir oturum tanımlayıcının
- Kişi B tıklama içeren bir uRL linki gönderir) kimlik doğrulaması gerekir Bu bağlantıda, A Kişisinin oturum ayrıntılarını kullanarak doğrudan web sitesine yönlendirilirler.
Person A oturum detaylarını kullanmış olsalar bile, B Kişi'nin web sitesi tarafından hala 'Kişi B' olarak tanındığını unutmayın. Bu nedenle, kullanıcı izinlerini vb. Kontrol eden bir kodunuz varsa, bu kontroller yine de B Personeli bağlamında yapılır.
Bu çok büyük bir sorun gibi görünebilir, ancak programcılar dikkatsiz olmadığı sürece . Örneğin, B kişisinin yukarıdaki testimde aldığım tek etki, A Kişisinin kurmuş olduğu ekran ve ızgara düzenlerini miras almalarıydı, çünkü izin kontrollerimizi canlı yapıyoruz (yani önbelleğe alınmamışlar). Eğer hassas verileri oturumda saklıyorsanız, bu bir sorun olabilir, ancak eğer gösterildikleri her defasında kontrol edilmediğini gösteren alanları varsa sadece bir problemdir. Ayrıca A Kişisinin oturumunun süresinin dolmaması durumunda bir sorun.
- 1. .NET'te Windows Kimlik Doğrulaması
- 2. Windows kimlik doğrulaması çalışmıyor
- 3. Firebase ile oturum yönetimi?
- 4. Java masaüstü uygulamasına Windows kimlik doğrulaması yayımı
- 5. Özel Windows GINA kimlik doğrulaması
- 6. ldapjs kimlik doğrulaması (kullanıcı oturum açma ayarları)
- 7. Tornado ile RESTful Kimlik Doğrulaması
- 8. kullanıcı kimlik doğrulaması için java swing uygulamasında Windows NT oturum açma kimlik bilgilerini nasıl kullanılır?
- 9. localhost \ SQLEXPRESS Windows kimlik doğrulaması veya SQL kimlik doğrulaması ile erişmek için kullanmam gereken sql bağlantı dizesi nedir?
- 10. Analysis Services Sadece Windows Kimlik Doğrulaması
- 11. etki alanındaki tümleşik windows kimlik doğrulaması
- 12. Nodejs veya ExpressJS Windows Kimlik Doğrulaması
- 13. SQL sunucu docker kabı ile windows kimlik doğrulaması nasıl kullanılır?
- 14. WCF Windows kimlik doğrulaması, kimlik bilgilerini açıkça ayarlamadan nasıl çalışır
- 15. MultipeerConnectivity Oturum yönetimi
- 16. Yay Güvenliği: Kimlik doğrulaması kullanıcı el ile
- 17. C# Oturum yönetimi
- 18. GWT oturum yönetimi
- 19. Android oturum yönetimi
- 20. Python ile Kerberos kimlik doğrulaması
- 21. kimlik doğrulaması ile Django 1.5
- 22. nodejs ile Google kimlik doğrulaması
- 23. Forma ile istemci kimlik doğrulaması
- 24. Akka-Http ile Kimlik Doğrulaması
- 25. ASP.NET Karışık Formlar/Windows Kimlik
- 26. WebAPI ve RavenDB ile temel oturum yönetimi
- 27. Oturum Yönetimi ile ilgili bahar eğitimi
- 28. İyonik, Açısal kimlik doğrulaması
- 29. Form Kimlik Doğrulaması ile Rol Tabanlı Güvenlik
- 30. AngularJs ThinkTecture ile ASP.NET WebApi Kimlik Doğrulaması
Daha "masum" bir senaryoya güzel örnek :). Yani oturumun ve kimlik doğrulamanın birbiriyle hiçbir ilgisi olmadığını söylüyorsun? Bu garip ... Ve aslında bu senaryoda bu konuyu kritik kılacak olan oturumda rolleri veya başka bir yetkilendirme belirtecini saklamak oldukça yaygın. Teşekkürler. – AviD