OWIN身份验证cookie如何实际验证

时间:2016-12-20 20:32:03

标签: c# asp.net authentication cookies owin

要对用户进行身份验证,哪些信息存储在由Microsoft.Owin.Security.AuthenticationManager.SignIn(claimsIdentity)的默认实现生成的Cookie中?

Chrome / FF不会清除没有过期日期的Cookie(具体取决于用户的浏览器设置)。因此,即使是经过cookie身份验证的非持久性用户也会通过浏览器重新启动来保持登录状

用户甚至在应用程序池回收后仍然保持登录状态,这促使我提出这个问题。

cookie是否包含特定于会话的信息,或者它是否与持久性cookie相同,但没有过期日期?

1 个答案:

答案 0 :(得分:3)

据我所知,生成的cookie包含多个字段,其中包括用户ID和cookie的到期日期时间。使用Web服务器的机器密钥对数据进行加密,从而生成发送到浏览器的cookie。

因此,在重新启动Web应用程序后,机器密钥保持不变,只要到期时间过去,cookie仍然可用。