我们使用IdentityServer4和OpenID Connect基于cookie的身份验证在一组应用程序(10个左右)中进行单点登录,但遇到了一些问题 . 在决定是否应该有一个clientid或许多这些应用程序时,我遵循了Dominik Baier的建议issue 2662,后来他建议每个应用程序都应该有自己的cookie . 这导致我们有一些非常实质的cookie(每个都是1024字节左右)并且在使用几个应用程序进行身份验证后,我们遇到了"Bad Request - Request Too Long"错误 .
我们做错了吗?我们真的应该躲避它,以便在这种情况下只有一个clientid cookie吗?或许我们应该自己修剪 Cookies ?
我以前见过太多OpenIdConnect.nonce cookie的情况,但这是不同的 .