ASP.NET Core 5 OpenIdConnect 身份验证 cookie 理论上是如何工作的？

我们正在尝试了解身份验证 cookie（ASP.NET Core 5.0 -

Microsoft.AspNetCore.Authentication.OpenIdConnect

版本 5.0.11）如何在没有 PKCE 的情况下与授权代码流配合使用。

授权流程

身份验证过程如下所示：前端中的登录重定向到

AuthController

的登录端点并启动 OpenId Connect 过程。因此，您已通过身份提供商的身份验证，并且为用户设置了 cookie。每次调用 API 时都会发送这些信息，以检查请求是否经过身份验证。

在此过程中创建了 3 个 cookie：

饼干#1：

• 名称 = .AspNetCore.Cookies
• 值=块-2

饼干#2：

• 名称 = .AspNetCore.CookiesC1
• 值 = CfDJ8GRK-GHfascFTvp0o_E7oKZU-6GOAbUGCPHZZPfewEv12PmKgr46gfeTQC351e-Jnxq8SxzjJEgboIedIPCO11Q […]

饼干#3：

• 名称 = .AspNetCore.CookiesC2
• 值 = 8G86qN27NOS2Z-75XqY34d-ID1nOELpPaHUIe2EkFZMmfjrYSKA2JaU30p4Ozh8RyxZXTpFCRV8

问题

• 这些

  .AspNetCore

  cookie 如何用于身份验证？
• 名称是如何生成的，值是如何加密的？
• 这些 cookie 包含什么？

我们尝试解密 cookie（如何手动解密 ASP.NET Core 身份验证 cookie？）以了解它是如何工作的，但这对我们不起作用。

不幸的是，理论上我们还没有找到关于 cookie 是如何生成（带有名称和值）的答案。

我希望这些问题是可以理解的，如果有人能回答这些问题，我将不胜感激。

代码片段以便更好地理解。希望:)

AuthController

：

// https://auth0.com/blog/backend-for-frontend-pattern-with-auth0-and-dotnet/
public class AuthController : Controller
{
    public ActionResult Login(string returnUrl = "/login")
    {
        return new ChallengeResult(OpenIdConnectDefaults.AuthenticationScheme, new AuthenticationProperties() { RedirectUri = returnUrl });
    }

    [Authorize]
    public async Task<ActionResult> Logout()
    {
        await HttpContext.SignOutAsync();

        return new SignOutResult(OpenIdConnectDefaults.AuthenticationScheme, new AuthenticationProperties
        {
            //RedirectUri = Url.Action("Index", "Home")
            RedirectUri = "/logout"
        });
    }

    //[Authorize]
    public ActionResult GetUser()
    {
        var jsonReturn = new Dictionary<string, string>();

        if (User != null && User.Identity.IsAuthenticated)
        {
            jsonReturn.Add("isAuthenticated", "true");

            foreach (var claim in ((ClaimsIdentity)this.User.Identity).Claims)
            {
                jsonReturn.Add(claim.Type, claim.Value);
            }

            return Json(JsonConvert.SerializeObject(jsonReturn));
        }

        jsonReturn.Add("isAuthenticated", "false");
        return Json(JsonConvert.SerializeObject(jsonReturn));
    }
}

启动：

public void ConfigureServices(IServiceCollection services)
{
     JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

     services.AddAuthentication(options =>
     {
          options.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;
          options.DefaultSignInScheme = CookieAuthenticationDefaults.AuthenticationScheme;
          options.DefaultChallengeScheme = CookieAuthenticationDefaults.AuthenticationScheme;
     })
     .AddCookie(o =>
     {
          o.Cookie.SecurePolicy = CookieSecurePolicy.Always;
          o.Cookie.SameSite = SameSiteMode.Strict;
          o.Cookie.HttpOnly = true;
     })
     .AddOpenIdConnect(OpenIdConnectDefaults.AuthenticationScheme, options => ConfigureOpenIdConnect(options));
}

private void ConfigureOpenIdConnect(OpenIdConnectOptions options)
{
        options.Authority = <identity provider url>;
        options.ClientId = "<clientId>";
        options.ClientSecret = "<clientSecret>";

        options.ResponseMode = OpenIdConnectResponseMode.FormPost;
        options.Scope.Clear();
        options.Scope.Add("openid");
        options.Scope.Add("profile");
        options.Scope.Add("offline_access");
        
        options.CallbackPath = new PathString("/callback");
        options.SaveTokens = true;
        options.UseTokenLifetime = false;
}