当用户更改密码时,我想使其可能在其他设备上的令牌无效。有没有办法明确地这样做?我尝试了一下,看到现有的令牌在密码更改后没有任何问题,这应该是防止的。
我想到将密码哈希或者哈希的一部分放在OAuth令牌中作为声明,并验证我们派生的AuthorizeAttribute筛选器的OnAuthorization方法。这是解决问题的正确方法吗?
但是如果您可以通过从客户端应用程序发送到受保护的API终端的每个请求来触发数据库,那么您需要为授予资源所有者的每个令牌存储令牌标识符(Guid也许)。然后,您将令牌标识符分配为此令牌的自定义声明,此后,您需要通过查找令牌标识符和资源所有者的用户名来检查每个请求的此表。
密码更改后,您将删除此资源所有者(用户)的该令牌标识符记录,并且下次从客户端发送的令牌将被拒绝,因为该令牌标识符和资源所有者的记录已被删除。