如上所述:Why do ASP.NET Identity logins from one site get shared with different websites on the same machine?
如果传入请求中存在有效的cookie,OWIN身份验证中间件将不会检查数据库。它将简单地使用cookie中提供的加密声明(用户名,可能是角色和其他)
据我所知,我可以拥有这样的工作流程:
从数据库中删除 test_auth 后,它将通过授权属性进行检查,因此我的数据库中没有 test_auth 用户,但它可以使用受授权属性保护的页面。
我很困惑为什么以这种方式实施。这真的很安全吗?