2015-12-02 101 views
1

我正在建立一個ASP.Net WEB API 2項目的過程中,我使用承載令牌通過OWIN中間件的安全性。Asp.Net身份IUserSecurityStampStore與承載令牌

場景:

  • 通過移動應用程序用戶與Web API認證,接收和訪問令牌的有效期爲15天,客戶端應用程序必須重新訪問令牌端點之前。

  • 登錄的用戶通過客戶端應用程序更改密碼。問題 這裏是用戶的當前訪問令牌現在具有不正確的 密碼,並且他們仍然有權訪問。

我想在回答第一個問題: -

這實際上是一個問題嗎?或壞..我不知道這是。

我知道,通過cookie身份驗證,您可以實現IUserSecurityStampStore接口並檢查數據庫中發生的用戶身份變化,然後使用戶cookie失效並需要新的cookie。

我正確地相信這個實現不適用於無記號令牌嗎?

這是我使用無記號令牌時需要關注的事情嗎?

回答

0

這是獲得令牌樂趣的一部分,它們很難撤銷/無效。

如果您不介意在每個請求中觸及您的身份數據庫,則可以檢查並查看密碼是否已更改。也許將標記中的安全標記作爲索賠存儲並將其與最新的郵票進行比較?

但是,這實際上是一個問題?取決於撤銷對您的重要性。在大多數使用情況下,如果您保持訪問令牌生命週期短,允許的範圍最小並且不濫用刷新令牌,則應該很好。

相關問題