एकीकृत विंडोज प्रमाणीकरण का उपयोग करते हुए एक एएसपी.नेट वेब ऐप में, विंडोज पहचान से जुड़ा सत्र है?
दूसरे शब्दों में, यदि मैं ऐप में लॉगिन (आईडब्ल्यूए का उपयोग कर रहा हूं), और ऐप मेरे सत्र में कुछ "सामान" स्टोर करता है, तो क्या यह सामान अकेले सत्र आईडी द्वारा पहुंचा जा सकता है? उदाहरण के लिए, यदि कोई दुर्भावनापूर्ण व्यक्ति मेरी सत्र आईडी चोरी करने में कामयाब रहा, लेकिन मेरे प्रमाण-पत्र नहीं, तो क्या वह मेरे सत्र सामान तक पहुंच सकता है? या यह सत्र केवल एक ही पहचान के लिए सुलभ है, दोनों सत्र आईडी और विंडोज़ पहचान को एक्सेस करने के लिए आवश्यक है?विंडोज प्रमाणीकरण के साथ सत्र प्रबंधन
उत्तर
उत्कृष्ट प्रश्न। मैंने यह जवाब लिखने से पहले पुष्टि करने के लिए बस एक परीक्षण चलाया।
- IWA का उपयोग कर वेबसाइट में व्यक्ति क लॉग, एक सत्र id सौंप दिया जाता है (:
तो मैं 'व्यक्ति एक' हूँ, और आप 'व्यक्ति बी' कर रहे हैं, तो यह है कि क्या करना है उदाहरण के लिए, यूआरएल) में
- व्यक्ति बी भी वेबसाइट के लिए खुद के रूप में लॉग करता है (ताकि वे प्रमाणीकृत करने)
- व्यक्ति क भेजता व्यक्ति बी एक uRL लिंक एक सत्र पहचानकर्ता
- व्यक्ति बी क्लिक्स शामिल है उस लिंक पर, वे व्यक्ति ए के सत्र विवरण का उपयोग करके सीधे वेब साइट पर ले जाते हैं
ध्यान दें कि व्यक्ति बी को अभी भी 'व्यक्ति बी' के रूप में पहचाना जाता है, भले ही वे व्यक्ति ए के सत्र विवरण का उपयोग कर रहे हों। यदि आप कोड है कि उपयोगकर्ता अनुमतियों आदि की जांच करे, तो उन चेकों अभी भी व्यक्ति बी के संदर्भ में किया जाता है तो
यह एक बहुत बड़ा मुद्दा तरह ध्वनि सकता है, लेकिन यह वास्तव में जब तक प्रोग्रामर लापरवाह नहीं हैं । मिसाल के तौर पर, उपरोक्त मेरे परीक्षण में व्यक्ति बी का एकमात्र प्रभाव यह था कि उन्हें स्क्रीन ए और ग्रिड लेआउट विरासत में मिला, जिसे व्यक्ति ए ने स्थापित किया था, क्योंकि हम अपनी अनुमति जांचते हैं (यानी वे कैश नहीं होते हैं)। यदि आप सत्र में संवेदनशील डेटा संग्रहीत करते हैं तो यह एक समस्या हो सकती है, लेकिन यह केवल एक समस्या है यदि वे फ़ील्ड दिखाते हैं तो उन्हें दिखाए जाने की अनुमति नहीं है। यह केवल एक मुद्दा है यदि व्यक्ति ए के सत्र का समय समाप्त नहीं हुआ है।
- 1. फायरबेस के साथ सत्र प्रबंधन?
- 2. PHP के लिए मूल प्रमाणीकरण और सत्र प्रबंधन पुस्तकालय?
- 3. सत्र प्रबंधन
- 4. विंडोज प्रमाणीकरण
- 5. डब्ल्यूपीएफ प्रबंधन उपकरण के साथ विंडोज सेवा
- 6. पायथन और urllib2 के साथ विंडोज प्रमाणीकरण
- 7. NHibernate सत्र प्रबंधन?
- 8. NHibernate सत्र प्रबंधन
- 9. विंडोज प्रमाणीकरण बनाम प्रमाणीकरण
- 10. Yii सत्र प्रबंधन
- 11. जीडब्ल्यूटी सत्र प्रबंधन
- 12. क्यूटी: सत्र प्रबंधन त्रुटि
- 13. विंडोज प्रमाणीकरण
- 14. विंडोज प्रमाणीकरण
- 15. सर्वर पक्ष में सत्र प्रबंधन के साथ आवेदन
- 16. विंडोज प्रमाणीकरण
- 17. विंडोज प्रमाणीकरण
- 18. सत्र निर्धारण - फॉर्म प्रमाणीकरण
- 19. रेल में सत्र प्रबंधन (2.3)
- 20. Emacs सत्र/परियोजनाओं/विंडो प्रबंधन
- 21. अनजान सत्र स्थायी प्रमाणीकरण के साथ समस्या का अपहरण
- 22. JSF सत्र प्रबंधन और ट्यूनिंग,
- 23. वसंत सुरक्षा प्रमाणीकरण प्रबंधन भेद्यता
- 24. एनएचबेर्नेट विन फॉर्म सत्र प्रबंधन
- 25. एएसपी.Net कस्टम सत्र राज्य प्रबंधन
- 26. सत्र प्रबंधन के लिए क्या उपयोग करें?
- 27. जर्सी सुरक्षा और सत्र प्रबंधन
- 28. सत्र प्रबंधन: REST सेवा के लिए प्रमाणीकरण टोकन कैसे उत्पन्न करें? (जर्सी)
- 29. PHP एपीआई प्रमाणीकरण और सत्र
- 30. विंडोज प्रमाणीकरण प्रमाण-पत्र
अधिक "निर्दोष" परिदृश्य का अच्छा उदाहरण :)। तो आप कह रहे हैं कि सत्र और प्रमाणीकरण के पास एक दूसरे के साथ कुछ लेना देना नहीं है? यह अजीब है ... और सत्र में भूमिकाओं, या कुछ अन्य प्राधिकरण टोकन को स्टोर करना वास्तव में काफी आम है, जो इस परिदृश्य में इस मुद्दे को महत्वपूर्ण बना देगा। धन्यवाद। – AviD