Asp.net 在Web Api中使用承载令牌进行身份验证时，如何生成用户属性？

这方面的文档非常稀少，这意味着我在任何地方都找不到明确的答案。

---

如果我没有弄错的话，在MVC应用程序中使用cookie身份验证时，cookie包含加密的信息，这些信息在每次请求时被解密并植入主体中。持票人代币也是这样吗？令牌是否包含进入主体的所有信息？它在幕后是如何运作的？如果这是一个愚蠢的问题，我很抱歉，但是我发现Asp.Net MVC和web api中当前的身份验证/授权实现非常混乱，而且没有很多好的文档。

据我所知，您的回答非常正确

在验证用户凭据时，可以扩展OAuthAuthorizationServerProvider类，覆盖GrantResourceOwnerCredentials方法；然后创建一个ClaimsIdentity实例并将其传递到AuthenticationTicket

然后对索赔实体（以及任何分配的索赔和数据）进行加密，并作为响应的“访问令牌”部分发送

Microsoft的OWIN身份验证中间件负责加密/解密和序列化过程的管道。 对于IIS托管方案，加密使用machine.config中的machineKey。对于自宿主，OWIN返回到

---

在他的博客上，Brock Allen对微软的OWIN认证中间件以及幕后发生的事情提供了一些非常好的见解和解释。我会仔细阅读，想了解更多详情，干杯，伙计。很高兴知道我在正确的轨道上，你为我指出了正确的方向。ASP.Net的整个身份验证部分可能令人头痛。