ASP.NET Identity（ASP.NETでの新しいメンバーシップの実装）を見ると、独自のインターフェースを実装するときにこのインターフェイスに出くわしましたUserStore。

//Microsoft.AspNet.Identity.Core.dll

namespace Microsoft.AspNet.Identity
{ 
    public interface IUserSecurityStampStore<TUser> :
    {
        // Methods
        Task<string> GetSecurityStampAsync(TUser user);
        Task SetSecurityStampAsync(TUser user, string stamp);
    }
}

IUserSecurityStampStoreプロパティをEntityFramework.UserStore<TUser>取得および設定するデフォルトで実装されTUser.SecurityStampます。

さらに掘り下げた後、a SecurityStampはのGuid重要なポイントで新しく生成されたようですUserManager（たとえば、パスワードの変更）。

Reflectorでこのコードを調べているので、これ以上は解読できません。ほとんどすべてのシンボルと非同期情報が最適化されています。

また、Googleはあまり役に立ちませんでした。

質問は：

• 何がSecurityStampASP.NETアイデンティティで、それがために使用何ですか？
• SecurityStamp認証Cookieが作成されるときに、は何らかの役割を果たしますか？
• これを使用する必要があるセキュリティの影響または予防策はありますか？たとえば、この値を下流のクライアントに送信しませんか？

アップデート（2014年9月16日）

ここで入手可能なソースコード：

• https://github.com/aspnet/Identity/
• https://github.com/aspnet/Security/

これは、ユーザーの資格情報の現在のスナップショットを表すためのものです。したがって、何も変更されない場合、スタンプは同じままです。ただし、ユーザーのパスワードが変更された場合、またはログインが削除された（google / fbアカウントのリンクが解除された）場合、スタンプは変更されます。これは、ユーザーに自動的に署名する/古いCookieを拒否するなどの場合に必要です。これは、2.0で導入される機能です。

Identityはまだオープンソースではありませんが、現在パイプラインに入っています。

編集：2.0.0用に更新されました。 の主な目的は、SecurityStampどこでもサインアウトできるようにすることです。基本的な考え方は、パスワードなどのセキュリティに関連する何かがユーザーに変更されるときは常に、既存のログインCookieを自動的に無効にすることをお勧めします。そのため、パスワード/アカウントが以前に侵害された場合、攻撃者はアクセスできなくなります。

2.0.0では、次の設定を追加して、にOnValidateIdentityメソッドをフックし、Cookieが変更されたときにCookie CookieMiddlewareを確認してSecurityStamp拒否します。またrefreshInterval、スタンプが変更されていない場合は、データベースからユーザーの要求を自動的に更新します（役割の変更などを処理します）。

app.UseCookieAuthentication(new CookieAuthenticationOptions {
    AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
    LoginPath = new PathString("/Account/Login"),
    Provider = new CookieAuthenticationProvider {
        // Enables the application to validate the security stamp when the user logs in.
        // This is a security feature which is used when you change a password or add an external login to your account.  
        OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
            validateInterval: TimeSpan.FromMinutes(30),
            regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
    }
});

アプリがこの動作を明示的にトリガーしたい場合は、次を呼び出すことができます。

UserManager.UpdateSecurityStampAsync(userId);

UseCookieAuthenticationは非推奨になりました。私はそれを使ってそれを構成することができました

services.Configure<SecurityStampValidatorOptions>(o => 
    o.ValidationInterval = TimeSpan.FromSeconds(10));

リクエストごとに返信から回答に移動しました。

SecurityStampがトークン検証に必要であることがわかりました。

リポジトリを作成するには、databsaeでSecurityStampをnullに設定します。トークンを生成します（正常に機能します）トークンを確認します（失敗します）