web-services – OAuth 2中的访问令牌撤销实现

前端之家收集整理的这篇文章主要介绍了web-services – OAuth 2中的访问令牌撤销实现前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我使用OWIN OAuth 2来实现我的授权服务器提供程序.现在,我想实现令牌撤销(当我的客户端应用程序想要注销时).
任何人都可以帮助我并告诉如何在OWIN KatanA OAuth中实施令牌撤销2.是否有一些良好的做法?

解决方法

OAuth 2.0中涉及两种令牌.一个是访问令牌,另一个是刷新令牌.

对于刷新令牌,我真的推荐Taiseer Joudeh写的Token Based Authentication using ASP.NET Web API 2,Owin,and Identity.他提供了有关设置基于令牌的身份验证的分步教程,包括撤消刷新令牌.

对于访问令牌,我使用黑名单来存储已撤销的访问令牌.当用户登出时,我将用户的当前访问令牌添加到黑名单中.如果有新请求,我首先检查其访问令牌是否在黑名单中.如果是,请拒绝该请求,否则让OAuth组件进行验证.

以下是一些实现细节:

我使用缓存作为黑名单,并将缓存项目的到期时间设置为访问令牌的到期时间.缓存项(访问令牌)将在到期后自动从黑名单中删除. (我们不需要在访问令牌到期后将其保留在黑名单中.如果令牌过期,无论它是否在黑名单中,它都无法通过OAuth验证机制).

以下代码显示如果请求的访问令牌位于黑名单中,如何拒绝该请求.

app.USEOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions()
    {
        Provider = new OAuthBearerAuthenticationProvider()
            {
                OnRequestToken = context =>
                   {
                        if(blackList.contans(context.Token))
                        {
                            context.Token = string.Empty;
                        }

                        return Task.FromResult<object>(null);
                    }
            }
    }

我所做的是如果我在黑名单中找到访问令牌,我将访问令牌设置为空字符串.稍后,当OAuth组件尝试解析令牌时,它会发现令牌为空.当然,空字符串不是有效令牌,因此它将拒绝请求,就像您发送带有无效访问令牌的请求一样.

猜你在找的HTML相关文章