OWIN 身份验证 cookie 如何实际进行身份验证
How does an OWIN authentication cookie actually authenticate
为了对用户进行身份验证,Microsoft.Owin.Security.AuthenticationManager.SignIn(claimsIdentity) 的默认实现生成的 cookie 中存储了哪些信息?
Chrome / FF 不清除没有有效期的 cookie(取决于用户的浏览器设置)。因此,即使是非持久性的、经过 cookie 身份验证的用户在浏览器重新启动后也会保持登录状态。
用户甚至在应用程序池回收后仍保持登录状态,这就是促使我提出这个问题的原因。
cookie 是否包含特定于会话的信息,或者它是否与持久性 cookie 相同,但没有过期日期?
据我所知,生成的 cookie 包含多个字段,其中包括 cookie 的用户 ID 和到期日期时间。数据使用 Web 服务器的机器密钥加密,该服务器生成发送到浏览器的 cookie。
因此,在重新启动 Web 应用程序后,只要未过期,机器密钥将保持不变并且 cookie 仍然可用。
为了对用户进行身份验证,Microsoft.Owin.Security.AuthenticationManager.SignIn(claimsIdentity) 的默认实现生成的 cookie 中存储了哪些信息?
Chrome / FF 不清除没有有效期的 cookie(取决于用户的浏览器设置)。因此,即使是非持久性的、经过 cookie 身份验证的用户在浏览器重新启动后也会保持登录状态。
用户甚至在应用程序池回收后仍保持登录状态,这就是促使我提出这个问题的原因。
cookie 是否包含特定于会话的信息,或者它是否与持久性 cookie 相同,但没有过期日期?
据我所知,生成的 cookie 包含多个字段,其中包括 cookie 的用户 ID 和到期日期时间。数据使用 Web 服务器的机器密钥加密,该服务器生成发送到浏览器的 cookie。
因此,在重新启动 Web 应用程序后,只要未过期,机器密钥将保持不变并且 cookie 仍然可用。