asp.net-web-api – 密码更改时如何使OAuth令牌无效?

前端之家收集整理的这篇文章主要介绍了asp.net-web-api – 密码更改时如何使OAuth令牌无效?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我们在使用SimpleAuthorizationServerProvider的Web Api项目中使用ASP.NET Identity,我们使用OAuth-token来授权来自客户端的每个请求。 (令牌已有和到期时间,我们不使用刷新令牌。)

用户更改密码时,我想使其可能在其他设备上的令牌无效。有没有办法明确地这样做?我尝试了一下,看到现有的令牌在密码更改后没有任何问题,这应该是防止的。

我想到将密码哈希或者哈希的一部分放在OAuth令牌中作为声明,并验证我们派生的AuthorizeAttribute筛选器的OnAuthorization方法
这是解决问题的正确方法吗?

解决方法

我不建议将密码的哈希值作为声明,而且我相信当密码更改时,没有直接的方法使令牌无效。

但是如果您可以通过从客户端应用程序发送到受保护的API终端的每个请求来触发数据库,​​那么您需要为授予资源所有者的每个令牌存储令牌标识符(Guid也许)。然后,您将令牌标识符分配为此令牌的自定义声明,此后,您需要通过查找令牌标识符和资源所有者的用户名来检查每个请求的此表。

密码更改后,您将删除此资源所有者(用户)的该令牌标识符记录,并且下次从客户端发送的令牌将被拒绝,因为该令牌标识符和资源所有者的记录已被删除

猜你在找的asp.Net相关文章