我看到越来越多的 MFA 登录显示“始终信任此设备”复选框,这样我下次从同一客户端登录时就不必接收代码(例如通过短信)。
哪些数据从客户端共享并存储到服务器以实现此目的?
我的理解(对于 .NET Core Identity)是,服务器在所有响应中放置一个 cookie,表明在应用程序允许的时间内浏览器受到 MFA 的信任。这是一个独立于应用程序身份验证 cookie 的 cookie,尽管它们包含类似的信息将它们连接在一起。