asp.net-web-api – 密码更改时如何使OAuth令牌无效?
发布时间:2020-12-16 00:26:24 所属栏目:asp.Net 来源:网络整理
导读:我们在使用SimpleAuthorizationServerProvider的Web Api项目中使用ASP.NET Identity,我们使用OAuth-token来授权来自客户端的每个请求。 (令牌已有和到期时间,我们不使用刷新令牌。) 当用户更改密码时,我想使其可能在其他设备上的令牌无效。有没有办法明确
我们在使用SimpleAuthorizationServerProvider的Web Api项目中使用ASP.NET Identity,我们使用OAuth-token来授权来自客户端的每个请求。 (令牌已有和到期时间,我们不使用刷新令牌。)
当用户更改密码时,我想使其可能在其他设备上的令牌无效。有没有办法明确地这样做?我尝试了一下,看到现有的令牌在密码更改后没有任何问题,这应该是防止的。 我想到将密码哈希或者哈希的一部分放在OAuth令牌中作为声明,并验证我们派生的AuthorizeAttribute筛选器的OnAuthorization方法。 解决方法
我不建议将密码的哈希值作为声明,而且我相信当密码更改时,没有直接的方法使令牌无效。
但是如果您可以通过从客户端应用程序发送到受保护的API终端的每个请求来触发数据库,??那么您需要为授予资源所有者的每个令牌存储令牌标识符(Guid也许)。然后,您将令牌标识符分配为此令牌的自定义声明,此后,您需要通过查找令牌标识符和资源所有者的用户名来检查每个请求的此表。 密码更改后,您将删除此资源所有者(用户)的该令牌标识符记录,并且下次从客户端发送的令牌将被拒绝,因为该令牌标识符和资源所有者的记录已被删除。 (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net-mvc – asp.net mvc嵌套视图模型表单sumission
- asp.net-mvc – 使用Ajax.ActionLink进行正确的HTTP删除问题
- asp.net-mvc-3 – 模型绑定逗号分隔的查询字符串参数
- asp-classic – 是否有像Visual Studio一样的ASP.NET开发服
- asp.net-mvc-3 – 在查询字符串中使用“popup = 1”时找不到
- 使用SharpZipLib压缩打包多个内存中的文件
- asp.net-mvc-5 – MVC 5 – 向用户添加声明
- asp.net – 面向方面的开发/编程资源
- asp.net-core – 什么是request5的模拟.在ASP.NET 5中的属性
- asp.net-core – ASP.NET 5中的HandleUnknownAction
推荐文章
站长推荐
- asp.net-mvc – ValidateAntiForgeryToken属性
- asp.net-mvc – bool的MVC Route Constraint
- asp.net – 元素’system.webServer’有无效的子
- asp.net-mvc – 具有html帮助的布尔隐藏和隐藏
- .net – 为所有操作调用ActionFilterAttribute
- 使用ASP.NET(C#)在不使用QueryString的情况下将变
- asp.net-mvc – 如果使用HTML内容,我可以写入内联
- ASP.NET异步方法问题
- asp.net-mvc – 如何在一个视图中呈现强类型的局
- asp.net – MultipartFormDataStreamProvider清理
热点阅读