问题描述
我试图使用ASP.Net Core Identity将额外的字段存储在cookie中。
此字段之一是“角色名称”。
将角色名称存储在cookie中是否安全?
例如,用户是否可以将角色名称从“ normalUser”更改为“ admin”?
我正在使用ASP.Net Core 3.1版本。
解决方法
从不将敏感数据存储在cookie中。正如梅森在评论中所说,可以修改cookie,这意味着可以对其进行利用。此外,您的Cookie可能是纯文本格式,甚至更糟。
我建议将这些数据安全地存储在后端。
会话肯定比cookie安全,因为它们存储在服务器端,但它们也可能受到攻击(会话劫持)。您需要正确配置它们以提高安全性。