ASP.NET Core如何知道Cookie在cookie身份验证中有效？

Question

我想了解cookie身份验证，特别是对于ASP.NET Core。据我所知，Cookie认证通常如何工作的是，会话ID存储在服务器端以及客户端。在发出请求时，会话ID将被发送，并会在服务器端进行检查。

我试图cookie认证中间件在ASP.NET核心使用此代码如下：

app.UseCookieAuthentication(new CookieAuthenticationOptions 
{ 
    AuthenticationScheme = CookieAuthenticationDefaults.AuthenticationScheme, 
    AutomaticAuthenticate = true 
}); 

而在的AccountController，在根据日志：

var myUser = GetUser(email, password); 
var claims = new List<Claim> 
{ 
    new Claim(ClaimTypes.Name, myUser.Name) 
}; 
var props = new AuthenticationProperties 
{ 
    IsPersistent = persistCookie, 
    ExpiresUtc = DateTime.UtcNow.AddYears(1) 
}; 

var identity = new ClaimsIdentity(claims, CookieAuthenticationDefaults.AuthenticationScheme); 
await HttpContext.Authentication.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, new ClaimsPrincipal(identity), props); 

我看到一个cookie是在浏览器，但是这存储在服务器端？我以为我需要将它存储在数据库中以检查是否有效，但似乎它已经存储在某处，因为我还没有完成任何数据库代码。另外，ASP.NET Core如何知道传递的cookie是有效的？

Answer 1

在此设置中，服务器上不存储任何内容。该cookie包含完整的序列化，加密的ClaimsPrincipal和AuthenticationProperties。

有一种参考模式，可以像您所描述的那样工作，如果身份过大可以使用。在那种情况下，你确实需要建立一个数据存储。没有提供默认实现。 https://github.com/aspnet/Security/blob/5b29bced0d2f1cfc78843bcd9ec9a828c6fb5fef/src/Microsoft.AspNetCore.Authentication.Cookies/CookieAuthenticationOptions.cs#L138