我正在使用Owin根据blog进行身份验证,当我执行以下操作时,我应该得到一个(应用程序)cookie。我不确定如何验证我确实有一个。所以它很可能存在于存储器或磁盘的某个地方,但我对安全问题一无所知以确定这一点。
List<Claim> claims = new List<Claim> { new Claim("Donkey", "Hazaa") };
ClaimsIdentity identity = new ClaimsIdentity(
claims, DefaultAuthenticationTypes.ApplicationCookie);
HttpContext.GetOwinContext().Authentication.SignIn(new AuthenticationProperties
{
AllowRefresh = false,
IsPersistent = false,
ExpiresUtc = DateTime.Now.AddMinutes(1)
});
我无法通过能够/无法登录来验证,因为这只是一个没有任何主干的虚拟人。在这个阶段我唯一需要做的就是确认某些东西在某个地方获得 ,并且当一分钟过去时消失。如果有一个实际的cookie文件突然出现在某个地方,然后在一段时间之后噗噗噗噗,那真是太棒了。有这样的吗?
答案 0 :(得分:0)
当然是,但是一旦请求并验证了身份验证,就会将Cookie发送到浏览器。 cookie具有与以前版本的cookie身份验证相同的行为,具有表单身份验证,因此浏览器接收和管理cookie的任务也是如此;在每个HTTP请求上,浏览器发送其cookie,由OWIN处理以检查身份验证。
获取代码并在内存上实现简单授权(例如user:abc,pass:123)并检查浏览器如何接收cookie。顺便说一句,cookie和令牌验证之间的唯一区别是cookie会在每次请求时自动发送,而在令牌身份验证时,您需要在标头上显式发送令牌信息。
请注意,Cookie身份验证适用于浏览器,因为移动应用程序或需要连接到API的其他应用程序无法访问Cookie响应,例如桌面应用程序。
此致