我们在使用SimpleAuthorizationServerProvider的Web Api项目中使用ASP.NET Identity,我们使用OAuth-token来授权来自客户端的每个请求。 (令牌已有和到期时间,我们不使用刷新令牌。)
当用户更改密码时,我想使其可能在其他设备上的令牌无效。有没有办法明确地这样做?我尝试了一下,看到现有的令牌在密码更改后没有任何问题,这应该是防止的。
我想到将密码哈希或者哈希的一部分放在OAuth令牌中作为声明,并验证我们派生的AuthorizeAttribute筛选器的OnAuthorization方法。
这是解决问题的正确方法吗?
我不建议将密码的哈希值作为声明,而且我相信当密码更改时,没有直接的
方法使令牌无效。
但是如果您可以通过从客户端应用程序发送到受保护的API终端的每个请求来触发数据库,那么您需要为授予资源所有者的每个令牌存储令牌标识符(Guid也许)。然后,您将令牌标识符分配为此令牌的自定义声明,此后,您需要通过查找令牌标识符和资源所有者的用户名来检查每个请求的此表。
密码更改后,您将删除此资源所有者(用户)的该令牌标识符记录,并且下次从客户端发送的令牌将被拒绝,因为该令牌标识符和资源所有者的记录已被删除。
原文链接:https://www.f2er.com/aspnet/252274.html
