来源:http://www.cnblogs.com/taizhouxiaoba/archive/2009/02/05/1384772.html

Cookie中的数据以文本的形式存在客户端计算机,考虑它的安全性,最好在将数据存入Cookie之前对其进行加密。
加密的方法很多,比较简单一点的有:Base64,md5,sha等,而相对比较复杂一点的有:DES,TripleDES,RC2,Rijndael等。
下面是的代码实现了将数据存入Cookie之前采用散列的算法进行加密.

 Private   void   Login_Click(object   sender,System   EventArgs   e)

 {

     string   Name   =   NameBox.Text;

     string   Pass   =   PassBox.Text;

     Response.Cookies["name"].Value   =   FormsAuthentication.HashPasswordForStoringInConfigFile(Name,   "md5");

     Response.Cookies["pass"].Value   =   FormsAuthentication.HashPasswordForStoringInConfigFile(Pass,   "md5");

 }

加密的方法很多,使用比较复杂的加密算法,安全性比较高些,但占用服务器资源比较大,会减慢整个网站的访问速度。
所以对Cookie加密在考虑三个方面:1:安全性,2:Cookie容量,3:整个网站的性能

来源:http://bbs.csdn.net/topics/30038595

Cookie确实在WEB应用方面为访问者和编程者都提供了方便,然而从安全方面考虑是有问题的,首先,Cookie数据包含在HTTP请求和响应的包头里透明地传递,也就是说聪明的人是能清清楚楚看到这些数据的 。其次,Cookie数据以Cookie文件格式存储在浏览者计算机的cache目录里,其中就包含有关网页、密码和其他用户行为的信息,那么只要进入硬盘就能打开Cookie文件。图1是一个Cookie文件的内容:

如果你未曾留意你的机器里有Cookie文件,可以按下列方法查看:打开IE,选择“工具”菜单里的“Internet选项”,然后在弹出的对话框里点击“设置”按钮,在设置对话框里点击“查看”钮,就会打开一个窗口显示浏览器放在硬盘里的所有缓存数据,其中就有大量的Cookie文件。

所以奉劝大家不要将敏感的用户数据存放在Cookie中,要么就通过加密将这些数据保护起来。

在以前的ASP版本中没有加密的功能,现在.NET构架在System.Security.Cryptography命名空间里提供了许多加密类可以利用。
一、.NET的密码系统概要

简单地说,加密就是将原始字符(字节)串转变为完全不同的字符串的处理过程,达到原始字符无法破译的目的。这个处理过程是用另一个字符串(称为“密钥”),采取复杂的、混合的算法,“捣进”原始字符串。有时还使用一个称为“初始向量”的字符串,在密钥捣进之前先打乱目标字符串,预防目标字符串中较明显的内容被识破。加密的功效取决于所用密钥的大小,密钥越长,保密性越强。典型的密钥长度有64位、128位、192位、256位和512位。攻击者唯一的方法是创建一个程序尝试每一个可能的密钥组合,但64位密钥也有72,057,594,037,927,936种组合。

目前有两种加密方法:对称加密(或称私有密钥)和非对称加密(或称公共密钥)。对称加密技术的数据交换两边(即加密方和解密方)必须使用一个保密的私有密钥。非对称加密技术中,解密方向加密方要求一个公共密钥,加密方在建立一个公共密钥给解密方后,用公共密钥创建唯一的私有密钥。加密方用私有密钥加密送出的信息,对方用公共密钥解密。保护HTTP传输安全的SSL就是使用非对称技术。

我们对Cookie数据的加密采取对称加密法。.NET构架从基本的SymmetricAlgorithm类扩展出来四种算法:

·System.Security.Cryptography.DES

·System.Security.Cryptography.TripleDES

·System.Security.Cryptography.RC2

·System.Security.Cryptography.Rijndael

下面将示范DES和TripleDES算法。DES的密钥大小限制在64位,但用于Cookie的加密是有效的。TripleDES完成了三次加密,并有一个较大的密钥位数,所以它更安全。使用那一种算法不仅要考虑加密强度,还要考虑Cookie的大小。因为加密后的Cookie数据将变大,并且,密钥越大,加密后的数据就越大,然而Cookie数据的大小限制在4KB,这是一个必须考虑的问题。再者,加密的数据越多或算法越复杂,就会占有更多的服务器资源,进而减慢整个站点的访问速度。

二、创建一个简单的加密应用类

.NET的所有加密和解密通过CryptoStream类别来处理,它衍生自System.IO.Stream,将字符串作为以资料流为基础的模型,供加密转换之用。下面是一个简单的加密应用类的代码:

 Imports System.Diagnostics

 Imports System.Security.Cryptography

 Imports System.Text

 Imports System.IO

 Public Class CryptoUtil

 '随机选8个字节既为密钥也为初始向量

 Private Shared KEY_64() As Byte = {, , , , , , , }

 Private Shared IV_64() As Byte = {, , , , , , , }

 '对TripleDES,采取24字节或192位的密钥和初始向量

 Private Shared KEY_192() As Byte = {, , , , , , , , _

 , , , , , , , , _

 , , , , , , , }

 Private Shared IV_192() As Byte = {, , , , , , , , _

 , , , , , , , , _

 , , , , , , , }

 '标准的DES加密

 Public Shared Function Encrypt(ByVal value As String) As String

 If value <> "" Then

 Dim cryptoProvider As DESCryptoServiceProvider = _

 New DESCryptoServiceProvider()

 Dim ms As MemoryStream = New MemoryStream()

 Dim cs As CryptoStream = _

 New CryptoStream(ms, cryptoProvider.CreateEncryptor(KEY_64, IV_64), _

 CryptoStreamMode.Write)

 Dim sw As StreamWriter = New StreamWriter(cs)

 sw.Write(value)

 sw.Flush()

 cs.FlushFinalBlock()

 ms.Flush()

 '再转换为一个字符串

 Return Convert.ToBase64String(ms.GetBuffer(), , ms.Length)

 End If

 End Function

 '标准的DES解密

 Public Shared Function Decrypt(ByVal value As String) As String

 If value <> "" Then

 Dim cryptoProvider As DESCryptoServiceProvider = _

 New DESCryptoServiceProvider()

 '从字符串转换为字节组

 Dim buffer As Byte() = Convert.FromBase64String(value)

 Dim ms As MemoryStream = New MemoryStream(buffer)

 Dim cs As CryptoStream = _

 New CryptoStream(ms, cryptoProvider.CreateDecryptor(KEY_64, IV_64), _

 CryptoStreamMode.Read)

 Dim sr As StreamReader = New StreamReader(cs)

 Return sr.ReadToEnd()

 End If

 End Function

 'TRIPLE DES加密

 Public Shared Function EncryptTripleDES(ByVal value As String) As String

 If value <> "" Then

 Dim cryptoProvider As TripleDESCryptoServiceProvider = _

 New TripleDESCryptoServiceProvider()

 Dim ms As MemoryStream = New MemoryStream()

 Dim cs As CryptoStream = _

 New CryptoStream(ms, cryptoProvider.CreateEncryptor(KEY_192, IV_192), _

 CryptoStreamMode.Write)

 Dim sw As StreamWriter = New StreamWriter(cs)

 sw.Write(value)

 sw.Flush()

 cs.FlushFinalBlock()

 ms.Flush()

 '再转换为一个字符串

 Return Convert.ToBase64String(ms.GetBuffer(), , ms.Length)

 End If

 End Function

 'TRIPLE DES解密

 Public Shared Function DecryptTripleDES(ByVal value As String) As String

 If value <> "" Then

 Dim cryptoProvider As TripleDESCryptoServiceProvider = _

 New TripleDESCryptoServiceProvider()

 '从字符串转换为字节组

 Dim buffer As Byte() = Convert.FromBase64String(value)

 Dim ms As MemoryStream = New MemoryStream(buffer)

 Dim cs As CryptoStream = _

 New CryptoStream(ms, cryptoProvider.CreateDecryptor(KEY_192, IV_192), _

 CryptoStreamMode.Read)

 Dim sr As StreamReader = New StreamReader(cs)

 Return sr.ReadToEnd()

 End If

 End Function

 End Class

上面我们将一组字节初始化为密钥,并且使用的是数字常量,如果你在实际应用中也这样做,这些字节一定要在0和255之间,这是一个字节允许的范围值。

三、创建一个Cookie的应用类

下面我们就创建一个简单的类,来设置和获取Cookies。

 Public Class CookieUtil

 '设置COOKIE *****************************************************

 'SetTripleDESEncryptedCookie (只针对密钥和Cookie数据)

 Public Shared Sub SetTripleDESEncryptedCookie(ByVal key As String, _

 ByVal value As String)

 key = CryptoUtil.EncryptTripleDES(key)

 value = CryptoUtil.EncryptTripleDES(value)

 SetCookie(key, value)

 End Sub

 'SetTripleDESEncryptedCookie (增加了Cookie数据的有效期参数)

 Public Shared Sub SetTripleDESEncryptedCookie(ByVal key As String, _

 ByVal value As String, ByVal expires As Date)

 key = CryptoUtil.EncryptTripleDES(key)

 value = CryptoUtil.EncryptTripleDES(value)

 SetCookie(key, value, expires)

 End Sub

 'SetEncryptedCookie(只针对密钥和Cookie数据)

 Public Shared Sub SetEncryptedCookie(ByVal key As String, _

 ByVal value As String)

 key = CryptoUtil.Encrypt(key)

 value = CryptoUtil.Encrypt(value)

 SetCookie(key, value)

 End Sub

 'SetEncryptedCookie (增加了Cookie数据的有效期参数)

 Public Shared Sub SetEncryptedCookie(ByVal key As String, _

 ByVal value As String, ByVal expires As Date)

 key = CryptoUtil.Encrypt(key)

 value = CryptoUtil.Encrypt(value)

 SetCookie(key, value, expires)

 End Sub

 'SetCookie (只针对密钥和Cookie数据)

 Public Shared Sub SetCookie(ByVal key As String, ByVal value As String)

 '编码部分

 key = HttpContext.Current.Server.UrlEncode(key)

 value = HttpContext.Current.Server.UrlEncode(value)

 Dim cookie As HttpCookie

 cookie = New HttpCookie(key, value)

 SetCookie(cookie)

 End Sub

 'SetCookie(增加了Cookie数据的有效期参数)

 Public Shared Sub SetCookie(ByVal key As String, _

 ByVal value As String, ByVal expires As Date)

 '编码部分

 key = HttpContext.Current.Server.UrlEncode(key)

 value = HttpContext.Current.Server.UrlEncode(value)

 Dim cookie As HttpCookie

 cookie = New HttpCookie(key, value)

 cookie.Expires = expires

 SetCookie(cookie)

 End Sub

【转】用ASP.NET加密Cookie数据的更多相关文章

  1. Asp.Net使用加密cookie代替session验证用户登录状态 源码分享

    首先 session 和 cache 拥有各自的优势而存在.  他们的优劣就不在这里讨论了. 本实例仅存储用户id于用户名,对于多级权限的架构,可以自行修改增加权限字段   本实例采用vs2010编写 ...

  2. Asp.net操作cookie大全

    实例代码: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 3 ...

  3. ASP.NET 操作Cookie详解 增加,修改,删除

    ASP.NET 操作Cookie详解 增加,修改,删除 Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密).定义于RFC2109.它 ...

  4. 详细介绍ASP.NET页面间数据传递的使用方法

    源码:http://www.jinhusns.com/Products/Download/?type=xcj 在ASP.NET中,页面间数据传递的方法有很多.下面为大家总结一下,页面间数据传递的方法. ...

  5. ASP.NET页面间数据传递的方法<转>

    ASP.NET页面间数据传递的方法 作者: 灰色的天空2  来源: 博客园  发布时间: 2010-10-28 11:06  阅读: 822 次  推荐: 0   原文链接   [收藏]   摘要:本 ...

  6. ASP.NET 页面间数据传递的方法

    在做WEB开发时,很多地方会涉及到页面间的数据传递.这几天在完善教务基础系统,遇到了这个问题,上网查了一些资料,现总结如下: 说到页面间数据传递,很多人都会想到通过像Session这样的全局变量,但是 ...

  7. .NET跨平台之旅:ASP.NET Core从传统ASP.NET的Cookie中读取用户登录信息

    在解决了asp.net core中访问memcached缓存的问题后,我们开始大踏步地向.net core进军——将更多站点向asp.net core迁移,在迁移涉及获取用户登录信息的站点时,我们遇到 ...

  8. asp.net各种cookie代码和解析

    Cookie是一段文本信息,在客户端存储 Cookie 是 ASP.NET 的会话状态将请求与会话关联的方法之一.Cookie 也可以直接用于在请求之间保持数据,但数据随后将存储在客户端并随每个请求一 ...

  9. ASP与ASP.NET转换Session数据桥的应用

    背景: 现有公司的产品OA是采用ASP早先的技术开发,需要与目前最新的ASP.NET产品进行数据交互的应用.现有的ASP应用程序往往采用“ASP Sessions”,这是一种经典的ASP内置模式,即允 ...

随机推荐

  1. 我与python3擦肩而过(三)—— 我去。。又是编码问题——urllib.parse.unquote

    记得初学python时就学的爬虫,经常遇到编码问题(其实在python3里面编码问题已经很少了...),用requests库就挺方便解决这些问题的.近来有共同学习python的程序员写了个电子书网站, ...

  2. C,C++宏中#与##的讲解[转]

    MoreWindows 专注于Windows编程 C,C++宏中#与##的讲解 文中__FILE__与示例1可以参见<使用ANSI C and Microsoft C++中常用的预定义宏> ...

  3. 表视图控制器(TableViewController)(二)

    1 tableView的编辑模式 1.1 问题 表视图可以进入编辑模式,当进入编辑模式就可以进行删除.插入.移动单元等操作,本案例还是使用联系人界面学习如何进入编辑模式,以及进入编辑模式之后的删除.插 ...

  4. 使用labview对kinect进行开发

    一.必要工具: LabVIEW 2011 或更高版本 用于Microsoft Kinect的Kinesthesia工具包 - 利兹大学(University of Leeds) 详情参见(先注册ni) ...

  5. 光流算法:Brox算法(转载)

    参考论文:1. High Accuracy Optical Flow Estimation Based on a Theory for Warping, Thomas Box, ECCV20042. ...

  6. 2016 ACM/ICPC Asia Regional Dalian Online 1002/HDU 5869

    Different GCD Subarray Query Time Limit: 6000/3000 MS (Java/Others)    Memory Limit: 65536/65536 K ( ...

  7. POJ 3264 区间最大最小值Sparse_Table算法

    题目链接:http://poj.org/problem?id=3264 Balanced Lineup Time Limit: 5000MS   Memory Limit: 65536K Total ...

  8. 用jquery ,当改变窗口或屏幕大小时调用function,用哪个事件?

    $(window).resize(function(){ //process here}); window的onresize事件. $(window).resize(function () {     ...

  9. Mvc3.0_笔记

    1.保留文本框中的值:<p>Find @Html.TextBox("searchKey", ViewBag.Filter as string)</p>  这 ...

  10. Web服务器IPtables配置

    #允许SSH流量(重要) iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -p tcp --dport 222 -j A ...