4

ASP.NET Web アプリケーションのフォーム認証で「Remember Me」を使用しています。有効な資格情報でログインし、[Remember Me] を選択すると、ログインでき、すべて問題ありません。ウィンドウを閉じて SQL サーバーを開いてパスワードを変更し、Web アプリケーションを開こうとすると、ログイン プロセスがバイパスされ、「Remember Me」から古いキャッシュされた資格情報が使用され、ログインできるようになります。

それは正常な動作ですか?もしそうなら、私が考えることができる唯一のことは、「Remember Me」オプションを削除するか、非常に短い有効期限を使用することです.

助言がありますか?

4

1 に答える 1

1

これは正常です。その理由は、ユーザーを記憶するために、何らかの形式のキーをクライアント マシンに保存して、ログイン プロセスをバイパスできるようにする必要があるためです。ASP.NET の統合メンバーシップ機能を使用していると仮定すると、基本的に、ユーザーを識別する一意のトークンが Cookie に格納されます。これは、さまざまな正当な理由から、パスワードとは関係ありません。これが意味することは、自動ログインはパスワードに依存しないため、パスワードを変更してもこの機能には論理的に影響しないということです。

セキュリティが懸念される場合は、記憶が有効な期間を短縮することを実際に検討できます。または、あなたが言及したように、リスクが大きすぎる場合は、この機能を完全に避けることができます. パスワード記憶は、大多数の Web サイトに実装されている一般的な機能であり、ASP.NET の統合メンバーシップ機能を使用している場合、セキュリティ リスクは最小限に抑えられますが、最終的には、特定のケースを調べて、この機能が有効かどうかを判断する必要があります。あなたの感覚。

于 2013-01-30T19:23:39.757 に答える