我想跟踪用户从登录到我的站点到注销的登录会话。
是否有我应该使用的预先存在的 cookie 或变量?我曾想过使用 ASP.NET sessionID,但在 StackOverflow 上读到这些数字可能会改变。
我会保存我自己的 Session cookie,但我不想做一些可以通过另一种方式更有效地完成的事情。我正在使用 Windows Identity Foundation (WIF) 来处理我的身份验证层。
我在 fiddler 中看到的唯一 cookie 是 FedAuth cookie,因此我假设我可以从中获取一些有价值的信息,但我不知道 WIF 框架中的何处/如何访问这些信息。
您可以通过 config - A Hidden Gem: The WIF Config Schema控制一些 cookie 特征。特别要注意 cookieHandler 部分和
hideFromScript - 布尔值 - 默认 true 控制是否为任何写入的 cookie 发出“HttpOnly”标志。某些 Web 浏览器通过阻止客户端脚本访问 cookie 值来尊重此标志。
WIF方面,Tokens.SessionSecurityTokenCookieSerializer中有一个Deserialize,IdentityModel.Web中有一个CookieHandler(Delete/Read/Write)。