据我所知,当我们使用默认声明时,授权声明包含在令牌中,一旦我们登录就生成并将其编码到cookie中。当我们使用[Authorize]属性时,它只解码令牌并检查用户角色。但在使用asp.net核心web.api时,同样适用于使用来自移动设备的令牌吗?有人可以分享链接,详细描述了基于声明的授权如何在幕后工作?
索赔有效地存储在内存中,至少在您询问的内容中。无论身份验证方式如何,最终结果都是内存中的ClaimsPrincipal实例,其中包含所有声明。像[Authorize]属性这样的东西不是读cookie;他们只是通过身份验证中间件访问通过框架注入的HttpContext.User(ClaimsPrincipal)。