我在一家代理机构工作,我们被指示使用内部单点登录解决方案,我们的应用程序重定向到他们的登录门户网站,他们的门户网站使用http标头中的令牌和身份信息重定向回来。然后由我们来决定如何继续。
我们的应用程序不打算将其身份存储的时间超过会话允许的时间。如果我们只希望会话在MVC 5应用程序中持续20分钟左右,而特定控制器需要身份验证,那么最好使用DefaultAuthenticationType。
public void ConfigureAuth(IAppBuilder app)
{
app.SetDefaultSignInAsAuthenticationType(DefaultAuthenticationTypes.ExternalCookie);
app.UseCookieAuthentication(new CookieAuthenticationOptions {
AuthenticationType = DefaultAuthenticationTypes.ExternalCookie,
AuthenticationMode = AuthenticationMode.Passive,
ExpireTimeSpan = TimeSpan.FromMinutes(20),
LoginPath = new PathString("/home"),
CookieHttpOnly = true,
CookieName = CookieAuthenticationDefaults.CookiePrefix + "External",
CookieDomain = ".my.com"
});
}
我们认为我们可能会暂时通过Entity存储可用信息,并将令牌存储在会话cookie中,但不承诺执行此操作。令牌绝对不可猜测。