我们正在使用IdentityServer4和OpenID Connect基于cookie的身份验证在一组应用程序(10个左右)中进行单点登录,但遇到了一些问题。在确定这些应用程序是否应该有一个clientid或者很多时,我在issue 2662上遵循了Dominick Baier的建议,后来他建议每个应用程序都应该有自己的cookie。这导致我们有一些非常丰富的cookie(每个都是1024字节左右),经过几个应用程序的身份验证后,我们遇到了“Bad Request - Request Too Long”错误。
我们做错了吗?我们真的应该躲避它,以便在这种情况下只有一个clientid + cookie吗?或许我们应该自己修剪饼干?
之前我见过过多OpenIdConnect.nonce cookie的案例,但这是不同的。