Убедитесь, что сценарий содержит
<?php
перед кодом, который должен быть выполнен. Между <?
и php
в этом не должно быть пробелов.
Подводя итог обсуждению в комментариях: токены не хранятся нигде - они генерируются криптогенератором (не совсем точно о точном процессе генерации) из SecruityStamp, и когда они возвращаются, их можно дешифровать и сравнивать.
Что касается поля EmailConfirmed
- это вам нужно поддерживать и ухаживать. Вам будет необходимо запретить вход для пользователей без подтвержденного письма. И вам нужно будет установить флаг, когда будет получено подтверждение по электронной почте.