我开发了一个带有 cookie 身份验证的 ASP.Net 网站。

在阅读了有关 CSRF 攻击的信息后，我决定更改我的网站以使用将保存在客户端的令牌身份验证。

所以我所做的是：

1. 使用过的登录名

2. 用户收到一个令牌并将其保存在 sessionStorage

3. 用户在每个API请求的标头中发送令牌。

这很好用。

现在我缺少的一件事是页面加载，这意味着如果用户在登录之前尝试访问页面，它应该将他重定向到登录页面。这显然是我想在页面加载之前做的事情，例如在我在以下代码中添加以下代码之前Site.Master：

if (!AuthCookieValidator.IsValid(HttpContext.Current))

{

    s_Logger.Info("the user is not authenticated, logging out!");

    Response.Redirect("/Login");

}

但是现在我无法实现这个逻辑，除非我同时保留基于会话的令牌 + 客户端令牌。

这里的解决方案是什么？