問題タブ [session-cookies]

ユーザーが私の Web サイトにログインすると、有効期限が 2 時間の Cookie が返されます。Cookie は次の呼び出しでは返されないため、ユーザーがまだ Web サイトを使用している場合でも 2 時間後に Cookie は期限切れになり、ログイン ページにリダイレクトされます。

だから私は解決策を知っていると思いますが、呼び出しごとに更新された「期限切れ」でクッキーを返すのは良い習慣ですか?

乾杯。

私は、ユーザーが PayPals Express チェックアウト プロセスを使用してその場で作成されたレポートを購入できる Web サービスを持っています。ユーザーがどのように (paypals コールバックを介して、または自分で) サイトに戻っても、支払ったレポートをダウンロードできるようにしたいと考えています。そのためには、彼がどこかで購入したレポート ID を保持する必要があります。どこで、どのようにそれを行うのが最善でしょうか? (Cookie? セッション パラメータ?)

ASP .Net C# を使用しています。

ありがとう、

ウェス

私は通常、掲示板ソフトウェアを使用するコミュニティにたむろしています。

私はこのソフトウェアが私のブラウザにクッキーとして何を保存するかを見ていました。

ご覧のとおり、6つのCookieが保存されます。その中で、私が認証にとって重要だと考えるものは次のとおりです。

1. ngisessionhash：現在のセッションのハッシュ
2. ngipassword：パスワードのハッシュ（おそらくプレーンパスワードではない）
3. ngiuserid：ユーザーのID

もちろん、これらは私の仮定です。ngilastactivityとngilastvisitが同じ理由で使用されているかどうかはわかりません。

私の質問は、なぜこれらすべてのCookieを認証に使用するのかということです。私の推測では、セッションハッシュの生成は簡単なので、hashedpasswordとuseridを使用するとセキュリティが強化されますが、Cookieのなりすましはどうでしょうか。私は基本的にすべての基本的な情報をクライアントに残しています。

どう思いますか？

更新＃1

これらのクッキーの内容は、私がそれらに含まれていると思うものです。私はそれについてはよく分かりません。もちろん、Cookie ngivbpasswordを呼び出してハッシュが含まれている場合、私の推測ではhashedpasswordです。おそらくそれはパスワード+ソルトである可能性があります。

私の主な関心事は、 Cookieのなりすまし攻撃を受けたときに、これらのソリューションが多くの情報を提供することです。

更新＃2 この質問は、これらの特定のソフトウェアがどのように機能するかを批判したくはありませんが、これらの回答を通して、Web環境でのソフトウェアの保護について詳しく知りたいと思います。

ASP.NETアプリにログオンすると、ログオンCookieが発行されます（ASPX_AUTHなどと呼ばれていると思います）。このクッキーの構造は何ですか？サーバーは実際にログオン状態を維持していますか、それとも純粋にCookie内にあるものですか（この場合、Cookieの有効期限を変更することで非常に長いログオン状態を強制できますか？）

Tx、AJ。

サーバーでの認証やその後の API 呼び出しに、通常はブラウザーで使用されるネイティブ モバイル アプリケーションに Cookie/セッションを使用してはならない理由はありますか?

明確化: モバイル クライアントでの事実上の認証方法は、OAuth/XAuth などのトークン ベースのシステムのようです。従来のブラウザの方法では十分でないのはなぜですか?

Cookieメソッドに「setSecure」というメソッド呼び出しがありますが、何に使うのですか？Secure(true) を設定した場合、Cookie を読み取るためにクライアント (javascript) 側で何かする必要がありますか? setSecure なしと setSecure の違いは何ですか?

Cookie の非常に単純なラッパー クラスを作成しました。次のようになります。

ただし、Cookieが最初に設定されたときに問題が発生したため、最初に呼び出して値を変更したい:

その後

2 つ目 (set) は Cookie を設定しません。

何が原因でしょうか？

フォーム変数を投稿するにはスヌーピーのようなクラスが必要であり、投稿するために呼び出されるコードがクッキーを書き込むことができるようにするスヌーピーはうまく機能しますが、私が動作させようとしているコードは

クッキーは決して書き込まれませんログインコードは手動で正常に機能しますが、コードでログインする方法が必要です事前に感謝します

CustomMembershipProviderを使用したログインのユースケースを次に示します。

1. MembershipProviderのユーザーログはユーザーアカウントを検証します
2. メンバーシップのユーザープロパティは、データベースからのユーザー詳細に設定されます
3. 認証チケットが作成されます
4. フォーム認証Cookieが追加されます。
5. ユーザーがログインしています

これが私の問題のユースケースです

1. Web開発サーバーを停止します
2. Web開発サーバーを起動しても、ユーザーはまだログインしています（Cookieが原因ですか？）
3. サーバーの再起動/障害により、ユーザープロパティのメンバーシップがnullに設定されている
4. ユーザー値がnullであるため、アプリケーションが例外をスローする

私が考えることができる唯一の解決策は、Application_Start（）ですべてのCookieをクリアすることですが、アプリケーションの開始時にRequestがコンテキスト外であるため、それがどのように可能であるかはわかりません。

このような問題を解決する方法はありますか？

コードは次のとおりです。

CustomMembershipProvider

アカウントコントローラーのログイン方法は次のとおりです

ここでサーバーを再起動するときはいつでもそうなので、以下の提案は実行できません。

1. Request.IsAuthenticatedはApplication_BeginRequestでFALSEです。
2. Request.IsAuthenticatedは私の「ビュー」でTRUEです

なぜこうなった？

一定期間非アクティブになった後、ユーザーをログアウトしたいと考えています。この質問 ( Logging users out of Django site after N minutes of inactive ) には妥当な答えがあります。

しかし、request.session.set_expiry と SESSION_COOKIE_AGE の違いを理解したいと思います。前者は、アクティビティに関係なく、一定期間後にユーザーをログアウトするようです。これは、SESSION_SAVE_EVERY_REQUEST が False の場合に SESSION_COOKIE_AGE が行うことでもありませんか?