Windows Kimlik Doğrulaması ile Oturum Yönetimi

Question

Bir ASP.NET web uygulamasında, Tümleşik Windows Kimlik Doğrulaması'nın kullanılması, pencere kimliğine bağlı oturum nedir?
Başka bir deyişle, uygulamaya (IWA kullanarak) giriş yaptım ve uygulama oturumumda bazı "şeyler" kaydediyorsa, bu içeriğe yalnızca oturum kimliği tarafından erişilebiliyor mu? Örneğin, kötü niyetli biri oturum kimliğimi çalmayı başardıysa, ancak kimlik bilgilerimi DEĞİL, daha sonra oturumlarıma erişebilir mi? Ya da bu oturum sadece numaralı oturum kimliğini ve buna erişmek için windows kimliğini gerektiren, aynı kimliğe erişebilir mi?

Answer 1

Mükemmel bir soru. Bu cevabı yazmadan önce onaylamak için bir test yaptım.

IWA kullanan web sitesinde
• Kişi A günlükleri, bir oturum kimliği atanır (i 'A Kişisi', ve sen 'Kişi B' ise

  , o zaman bu durum neler olduğunu örneğin, url) içinde

• Kişi B ayrıca kendileri olarak web sitesine giriş yapan (böylece
• Kişi bir Kişi B bir oturum tanımlayıcının
• Kişi B tıklama içeren bir uRL linki gönderir) kimlik doğrulaması gerekir Bu bağlantıda, A Kişisinin oturum ayrıntılarını kullanarak doğrudan web sitesine yönlendirilirler.

Person A oturum detaylarını kullanmış olsalar bile, B Kişi'nin web sitesi tarafından hala 'Kişi B' olarak tanındığını unutmayın. Bu nedenle, kullanıcı izinlerini vb. Kontrol eden bir kodunuz varsa, bu kontroller yine de B Personeli bağlamında yapılır.

Bu çok büyük bir sorun gibi görünebilir, ancak programcılar dikkatsiz olmadığı sürece . Örneğin, B kişisinin yukarıdaki testimde aldığım tek etki, A Kişisinin kurmuş olduğu ekran ve ızgara düzenlerini miras almalarıydı, çünkü izin kontrollerimizi canlı yapıyoruz (yani önbelleğe alınmamışlar). Eğer hassas verileri oturumda saklıyorsanız, bu bir sorun olabilir, ancak eğer gösterildikleri her defasında kontrol edilmediğini gösteren alanları varsa sadece bir problemdir. Ayrıca A Kişisinin oturumunun süresinin dolmaması durumunda bir sorun.