这是错误的吗？-在数据库中存储身份验证令牌，并对每个请求将其与保存在cookie中的令牌进行比较。

Question

发行：

所以我一直在玩ASP.NET表单身份验证，我所做的就是基本上创建了一个带有令牌列的用户表来存储表单身份验证令牌。

场景：

1. 用户输入他的用户名和密码。
2. 如果找到了用户，就会进行身份验证。
3. 身份验证令牌存储在数据库中。
4. 加密的经过身份验证的令牌存储在cookie中&发送给客户端。
5. 当用户请求时，需要保存在cookie中的身份验证令牌的方法将被解密，并与存储在数据库中的令牌进行比较。

我的问题：

1. 这样的方法安全吗？专业人士？犯人？
2. 我是否可以使用该方法的会话，以便对每个请求进行比较？

备注：

1. 从创建开始，Cookie过期日期设置为60天。
2. 用过的ORM是Rob Conery的巨大。

Answer 1

值得注意的是，微软已经投入巨资确保他们的系统尽可能安全。这包括表单身份验证；除非他们确信在不需要执行任何其他操作的情况下，最终用户是安全的，否则他们不会推荐它。

我记得最近有一个问题，一个用户决定通过使用MD5对结果进行散列，从而使SHA-256哈希“更安全”，并以此作为他们的比较。在这种情况下，通过添加“更多的安全性”，它们实际上成功地大大降低了系统的安全性。

因此，我个人将避免在窗体身份验证中增加任何复杂性，并放弃对令牌进行加密的想法。有足够的资源可以在线和离线保护它，而不增加你自己的小扭曲。

你提到的原因是为了防止“分局被破坏”.如果发生这种情况，那么加密的cookie既不在这里也不在那里，那么无论如何，您都面临着严重的麻烦。攻击者也有可能访问您的代码，并且可以使用它以最小的努力解密cookie。

关于会话，这取决于您的应用程序。如果您正在使用IIS中的内置会话，这通常被认为是安全的(使用中的特定会话由另一个cookie存储浏览器端引用)，因为黑客必须对您的服务器进行重要访问才能达成任何妥协，而且访问用户会话也是您最不担心的。