Nhìn vào ASP.NET Identity (triển khai thành viên mới trong ASP.NET), tôi đã bắt gặp giao diện này khi thực hiện giao diện của riêng tôi UserStore:

//Microsoft.AspNet.Identity.Core.dll

namespace Microsoft.AspNet.Identity
{ 
    public interface IUserSecurityStampStore<TUser> :
    {
        // Methods
        Task<string> GetSecurityStampAsync(TUser user);
        Task SetSecurityStampAsync(TUser user, string stamp);
    }
}

IUserSecurityStampStoređược thực hiện theo mặc định EntityFramework.UserStore<TUser>mà về cơ bản là lấy và đặt thuộc TUser.SecurityStamptính.

Sau khi đào thêm, có vẻ như SecurityStampmột Guidcái mới được tạo tại các điểm chính trong UserManager(ví dụ: thay đổi mật khẩu).

Tôi thực sự không thể giải mã được nhiều hơn thế vì tôi đang kiểm tra mã này trong Reflector . Hầu như tất cả các thông tin biểu tượng và không đồng bộ đã được tối ưu hóa.

Ngoài ra, Google đã không được giúp đỡ nhiều.

Câu hỏi là:

• Một SecurityStamptrong Nhận dạng ASP.NET là gì và nó được sử dụng để làm gì?
• Có SecurityStampđóng vai trò nào khi cookie xác thực được tạo không?
• Có bất kỳ phân nhánh bảo mật hoặc biện pháp phòng ngừa nào cần được thực hiện với điều này? Ví dụ: không gửi giá trị này xuống cho khách hàng?

Cập nhật (ngày 16/9/2014)

Mã nguồn có sẵn ở đây:

• https://github.com/aspnet/Identity/
• https://github.com/aspnet/Securance/

Điều này có nghĩa là để thể hiện ảnh chụp nhanh hiện tại của thông tin người dùng của bạn. Vì vậy, nếu không có gì thay đổi, tem sẽ giữ nguyên. Nhưng nếu mật khẩu của người dùng bị thay đổi hoặc đăng nhập bị xóa (hủy liên kết tài khoản google / fb của bạn), tem sẽ thay đổi. Điều này là cần thiết cho những việc như tự động đăng nhập người dùng / từ chối cookie cũ khi điều này xảy ra, đây là một tính năng có trong 2.0.

Danh tính chưa phải là nguồn mở, hiện tại nó vẫn đang trong quá trình xử lý.

Chỉnh sửa: Cập nhật cho 2.0.0. Vì vậy, mục đích chính của việc SecurityStampnày là cho phép đăng xuất ở mọi nơi. Ý tưởng cơ bản là bất cứ khi nào một cái gì đó liên quan đến bảo mật được thay đổi trên người dùng, như mật khẩu, bạn nên tự động vô hiệu hóa bất kỳ cookie đăng nhập hiện có nào, vì vậy nếu mật khẩu / tài khoản của bạn bị xâm phạm trước đó, kẻ tấn công không còn quyền truy cập.

Trong 2.0.0, chúng tôi đã thêm cấu hình sau để móc OnValidateIdentityphương thức vào CookieMiddlewaređể xem SecurityStampvà từ chối cookie khi nó đã thay đổi. Nó cũng tự động làm mới các khiếu nại của người dùng từ cơ sở dữ liệu mỗi refreshIntervalkhi tem không thay đổi (sẽ xử lý các việc như thay đổi vai trò, v.v.)

app.UseCookieAuthentication(new CookieAuthenticationOptions {
    AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
    LoginPath = new PathString("/Account/Login"),
    Provider = new CookieAuthenticationProvider {
        // Enables the application to validate the security stamp when the user logs in.
        // This is a security feature which is used when you change a password or add an external login to your account.  
        OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
            validateInterval: TimeSpan.FromMinutes(30),
            regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
    }
});

Nếu ứng dụng của bạn muốn kích hoạt hành vi này một cách rõ ràng, nó có thể gọi:

UserManager.UpdateSecurityStampAsync(userId);

Hiện tại UseCookieAuthentication không được dùng nữa . Tôi quản lý để cấu hình nó bằng cách sử dụng

services.Configure<SecurityStampValidatorOptions>(o => 
    o.ValidationInterval = TimeSpan.FromSeconds(10));

Chuyển từ trả lời để trả lời theo yêu cầu .

Tôi đã quan sát SecurityStamp được yêu cầu xác minh mã thông báo.

Để repo: Đặt SecurityStamp thành null trong databsae Tạo mã thông báo (hoạt động ổn) Xác minh mã thông báo (không thành công)