我正在做一些關於驗證webapi2.1的測試,我有點不確定它是如何工作的。撤銷WebApi 2.1無記號令牌
我有一個webapi控制器設置[授權],所以當我嘗試調用它沒有不記名令牌時,我得到了預期的401。
第1步 - 我生成一個新的令牌,並將其添加到我的請求的標題,我收回預期的結果。 步驟2我使用相同的帳戶詳細信息生成新令牌。我可以使用舊的令牌或新的令牌訪問數據。
爲什麼第一個標記仍然有效?我會認爲這應該返回一個401使用舊的令牌?
我正在做一些關於驗證webapi2.1的測試,我有點不確定它是如何工作的。撤銷WebApi 2.1無記號令牌
我有一個webapi控制器設置[授權],所以當我嘗試調用它沒有不記名令牌時,我得到了預期的401。
第1步 - 我生成一個新的令牌,並將其添加到我的請求的標題,我收回預期的結果。 步驟2我使用相同的帳戶詳細信息生成新令牌。我可以使用舊的令牌或新的令牌訪問數據。
爲什麼第一個標記仍然有效?我會認爲這應該返回一個401使用舊的令牌?
考慮持票人代幣與電影廳或博物館的票證相似。當您使用現金或信用卡(憑證如用戶名/密碼)在櫃檯(Auth服務器)付款時,您將獲得一張票(來自Auth服務器的令牌)。您現在可以使用此故障單來訪問以前無法訪問的安全環境(網頁或方法)。
爲自己購買另一張票並不會使您購買的以前的票失效。你現在有兩張門票基本上是一樣的。它只會讓你付出更多的代價。在這種情況下的成本是數據庫的另一個匹配您的憑據。
希望是有道理的。
但是,一旦你被錄取到電影/展覽/任何內容中,他們就會打票,所以你不能重複使用它。或者他們改變下一個展示的顏色,所以你不能再次進入。管他呢。 –
它確實有道理。它允許我登錄多個會話或瀏覽器。所有知名網站都允許Google和Facebook這樣的網站。我可以同時在Chrome和Firefox上登錄Facebook。 – LostInComputer
相關http://stackoverflow.com/questions/20569455/webapi-with-oauth-revoke-token – LostInComputer
好的,謝謝你@EugeneBrianOng的回覆。 –