0

私は.NET4.0パラダイムにいて、シナリオに気づきました。私のAPIは、FormsAuthentication.Encryptメソッドを使用してユーザーのトークンを作成していました。問題は、ローカルホストでAPIを実行し、APIを呼び出してキーを取得すると、サーバーへの後続のリクエストで同じキーを使用できることです。なぜこうなった?これは望ましい動作ですか?それはセキュリティリスクではありませんか?

4

1 に答える 1

1

machineKey問題は、アプリケーションweb.configの値をオーバーライドしていたことでした。そのため、両方のアプリケーション(ローカルマシンとサーバーで実行)は、暗号化と復号化に同じキーを使用していました。したがって、サーバーがローカルマシンによって暗号化されたキーを復号化すること、およびその逆が可能でした。

于 2012-08-23T08:07:23.513 に答える