.netcore入门12：aspnetcore中cookie认证之服务端保存认证信息

环境：

• .netcore 3.1.1.0

概念说明：

Ticket：服务端做过身份认证后会将ClaimsPrincipal和一些属性（有效期、滑动窗口等）组装成ticket。
Cookie：浏览器端保存的数据，服务端将生成的ticket加密后以cookie的形式传送给浏览器。

上篇（.netcore入门11：aspnetcore自带cookie的认证期限分析）讲了cookie的保存和有效期，我们发现并没有在服务器上保存任何的痕迹，服务器仅仅读写ticket到浏览器上。这是因为aspnetcore框架默认开启cookie认证后并没有保存认证凭证(ticket)到服务器上，也就是所有的认证信息都是保存在客户端的，如下图所示：

其实在cookie的认证方案中是预留了ITicketStore接口用来保存ticket的，这个接口定义了四个方法：

using System.Threading.Tasks;

namespace Microsoft.AspNetCore.Authentication.Cookies
{
    public interface ITicketStore
    {
        Task<string> StoreAsync(AuthenticationTicket ticket);
        Task RenewAsync(string key, AuthenticationTicket ticket);
        Task<AuthenticationTicket> RetrieveAsync(string key);
        Task RemoveAsync(string key);
    }
}

可以看到这个接口就是简单的定义了ticket的存取。如果我们要使用这个功能，那么可以自定义一个TicketStore然后在AddCookie()的时候设置一下：AddCookie(o => o.SessionStore = new MemoryCacheTicketStore())，这个MemoryCacheTicketStore是aspnetcore的源码里面带的示例。
如果我们使用了自定义的TicketStore那么服务器就不再把认证过后的ticket以cookie的形式发送到浏览器了，而是把ticket替换为一个更小的“代理ticket”，这个代理ticket只保存了真正ticket的key值，真正的ticket被保存到了TicketStore里。这样浏览器和服务端每次交互ticket的时候都会去TicketStore里做一次转换，逻辑图如下所示：

注意：
这里说的ITicketStore接口时在Cookie认证方案中定义的，并不是Authentication框架中的，所以它并不是aspnetcore框架中的Session，但是这个ITicketStore确实起到了“Session”的作用。
补充说明：
aspnetcore框架中定义了Session中间件，使用的配置代码为services.AddSession();& app.UseSession();然后在Action里面就可以用了，但和上面说的ITicketStore不是一回事，Session中间件并不需要Authentication，下面简单看下Session中间件是怎么使用的：

public IActionResult Index()
{
  string counter = ControllerContext.HttpContext.Session.GetString("counter");
  ControllerContext.HttpContext.Session.SetString("counter", "0");
  return View();
}