如何创建身份验证 cookie，但不使用 asp.net formsauthentication？

Question

我们是否知道 asp.net 用于创建身份验证 cookie 的算法（当使用表单身份验证时？）

我们基本上可以创建自己的副本实现吗？如果是这样，怎么办？

它使用什么来生成加密的 cookie 值，我知道它使用您传递到 SetAuthCookie 调用中的任何内容（通常是用户 ID/用户名）。

Answer 1

表单身份验证使用成员资格标识符，这是由配置的成员资格提供程序提供的唯一值。然后，它采用该值，加上票证中的任何用户数据集，将其转换为二进制 blob，添加发行日期、到期日期，并根据配置，使用机器密钥使用 HMAC 对其进行签名，使用机器钥匙，或者什么都不做（坏主意！）。

然后它将 cookie 作为仅 HTTP cookie 写出。

然后，在每个请求中，它都会加载它，验证它，使用成员身份标识符来查找用户，并填充该线程上的用户详细信息。如果设置了滑动票据到期日，它将刷新 cookie 以获取新的到期日。