当使用者使用浏览器，第一次进入ASP.NET站台。

因为还没有完成登入的动作，所以被ASP.NET判断为「未登入」。

这时使用者要求使用的资源，如果是被打上[Authorize]标签的Controller或是Action。[Authorize]标签会判别用户未登入，就回传HTTP 401状态代码。

ApplicationCookieMiddleware是一个Identity挂载到ASP.NET的Middleware，这个Middleware会去拦截HTTP 401状态代码。

ApplicationCookieMiddleware拦截到HTTP 401状态代码之后，会更改回传的内容。改为回传HTTP 302状态代码以及一个Login页面的URL。

浏览器接收到HTTP 302状态代码，会自动跳转页面到回传内容所夹带的Login页面URL。

ASP.NET站台会回传Login页面给浏览器，要求用户进行登入作业。

使用者在Login页面，选择使用Facebook验证后，Login页面会连结到ExternalLogin这个Action。

ExternalLogin在收到使用者选择使用Facebook验证后，会回传一个ChallengeResult， 来引发Challenge。因为使用者是选择使用Facebook验证，所以这个Challenge动作会交由FacebookAuthenticationMiddleware来处理。

接着FacebookAuthenticationMiddleware会发起一个OAuth的流程，来在Facebook站台、用户浏览器之间交换信息，用以认证一个使用者。(参考数据:OAuth 2.0 笔记 - Yu-Cheng Chuang)

完成OAuth流程之后，FacebookAuthenticationMiddleware就可以依照取得的用户信息，来建立一个FBUser。

FBUser会被拿来做为SignIn动作的参数。这个SignIn动作，会被导到Identity挂载的ExternalCookieMiddleware去执行。

在ExternalCookieMiddleware里，会将FBUser编码为Cookie内容，并且附加到回传内容里。

完成SignIn动作后，FacebookAuthenticationMiddleware会更改回传的内容。改为回传HTTP 302状态代码、编码为Cookie内容的FBUser、以及一个ExternalLoginCallback URL。

浏览器接收到HTTP 302状态代码，会自动跳转页面到回传内容所夹带的ExternalLoginCallback URL，并且也同时回传编码为Cookie内容的FBUser。

ASP.NET会从Cookie内容里译码出FBUser，并且依照编码FBUser为Cookie时的定义，将登入状态定义为「未登入」。

接着这个FBUser，会被提交给ASP.NET Identity，用以从Identity里取得系统使用的APPUser。这个APPUser除了用户相关数据外，也包含了授权给该用户的Role数据。

APPUser会被拿来做为SignIn动作的参数。这个SignIn动作，会被导到Identity挂载的ApplicationCookieMiddleware去执行。

在ApplicationCookieMiddleware里，会将APPUser编码为Cookie内容，并且附加到回传内容里。

完成SignIn动作后，ASP.NET Identity会更改回传的内容。改为回传HTTP 302状态代码、以及编码为Cookie内容的APPUser。