Когда мы используем аутентификацию с помощью форм ASP.NET в любой из платформ ASP.NET (ASP.NET MVC, веб-форм и т. д. ), мы сохраняем файл cookie аутентификации в браузере клиента. В качестве наилучшей практики мы устанавливаем файл cookie как HttpOnly и безопасный. Мы также делаем все транзакции через SSL. Независимо от того, какой механизм мы используем для аутентификации пользователя (OAuth, ASP.NET Membership Provider и т. д. ), нам все равно необходимо сохранять аутентификацию для лучшего взаимодействия с пользователем.
Имея все это, я предполагаю, что кто-то все еще может получить файл cookie из клиентского браузера и отправить запросы с этими значениями файла cookie аутентификации. Это не может быть обнаружено сервером, и мы будем передавать защищенные данные кому-то другому.
Я думаю, что здесь я имею в виду, чтобы снизить риск, чтобы спрашивать пароль клиента каждый раз, когда он/она пытается предпринять некоторые серьезные действия (, такие как изменение адреса электронной -почты, доступ к информации профиля и т. д. )но это ничего не решает и может сильно раздражать клиента.
Есть ли у вас какой-либо подход, которому вы активно следуете для такого рода проблем? Или как лучше всего сохранить аутентификацию в браузере клиентов?