Microsoft身份 - 從角色中移除用戶，但用戶仍可以訪問，直到註銷

Question

ApplicationDbContext _context = new ApplicationDbContext(); 
UserManager<ApplicationUser> _userManager = new UserManager<ApplicationUser>(new UserStore<ApplicationUser>(_context)); 

我從角色由以下刪除用戶：

userManager.RemoveFromRole("userId", "roleName"); 

和它的作品幾乎一樣，我想它。但是，如果我刪除了當前登錄到我的應用程序的用戶，那麼他仍然可以對我的所有WebApi電話「授權」，直到他已被註銷。我究竟做錯了什麼？

編輯：

要不我怎麼能signout從給定碼的用戶？

Answer 1

兩件事情：

• 確保用戶改變/角色後，你可以調用_context.SaveChanges（）
• 要求用戶的活動會話重新驗證，使用SecurityStamp功能在ASP.NET。 What is ASP.NET Identity's IUserSecurityStampStore<TUser> interface?

如果您正在使用OAuth索賠，這是如何失效的會話一個很好的例子：https://timmlotter.com/blog/asp-net-identity-invalidate-all-sessions-on-securitystamp-update/

希望這有助於！