Session 使用Nancy实现基于会话的身份验证

这是我们的后续问题

多亏了Nancy，我现在了解了Nancy表单身份验证的工作原理及其背后的思想

然而，对于我的应用程序来说，这种方法是不够的。如果攻击者试图窃取身份验证cookie一次，则一定不可能获得永久访问权限。因此，我目前正在研究切换到基于会话的身份验证方法的可能性，以便在用户注销时以及在固定时间后使会话无效

南希很好，这些东西可以定制

我的问题是，为了这个目的重用Nancy.FormsAuthentication有意义吗？我想到的一个解决方案是使用户标识符仅暂时有效。这样，当用户注销时，我将从用户数据库中删除GUID标识符，并在用户每次登录时创建一个新的GUID标识符

我这么问是因为文件上说：

同样重要的是要知道标识符应被视为 为其生成并将被重用的用户的永久 跨请求和应用程序会话

当我忽略它并使标识符成为非永久性标识符时，是否有任何不必要的副作用？

是和否

如果每次用户登录时都对其进行更改，则实际上是在将用户注销

您可以创建一个会话/标识表，该表允许同一用户多次登录（假设浏览器不同），从而允许您管理每次身份验证的超时/延长超时

这不需要更改表单身份验证，您只需更改IUserMapper以根据会话/标识表进行身份验证，而不是直接针对用户进行身份验证

（希望一切都有意义）