我在网络API应用程序中使用 oauth 2.0 和身份框架。
在我的web api中,我使用基于令牌的身份验证和刷新令牌实现了身份验证。 我需要在密码更改时签署用户(此处安全标记将被更改)。
我有这段代码:
app.UseCookieAuthentication(new CookieAuthenticationOptions {
AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
LoginPath = new PathString("/Account/Login"),
Provider = new CookieAuthenticationProvider {
// Enables the application to validate the security stamp when the user logs in.
// This is a security feature which is used when you change a password or add an external login to your account.
OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
validateInterval: TimeSpan.FromMinutes(30),
regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
}});
但我认为这是基于cookie的身份验证 以下是配置令牌生成的代码:
var oAuthServerOptions = new OAuthAuthorizationServerOptions()
{
AllowInsecureHttp = true,
TokenEndpointPath = new PathString("/api/token"),
AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(30),
Provider = provider,
RefreshTokenProvider = new SimpleRefreshTokenProvider()
};
我已经实现了我的提供程序来检查用户凭据并刷新令牌提供程序以实现滑动访问令牌到期。
我的第一个问题是如何通过检查securitystamp来实现拒绝访问令牌/刷新令牌来签署用户?
我的第二个问题我是否应该在访问令牌提供程序和/或刷新令牌提供程序中执行此操作(如果有任何代码snippt,那么最好理解)?
答案 0 :(得分:1)
在基于令牌的身份验证中,没有基于securityStamp更改使访问令牌无效的开箱即用解决方案。 但是我在这个页面找到了解决这个问题的好方法:
How to invalidate OAuth token when password is changed?
但是上面的解决方案没有实现owin.So简单地解决方案如下:
<强>步骤1 : 在提供程序中授予资源所有者凭据(在 GrantResourceOwnerCredentials 方法内)时,添加名为“securityStamp”的声明,并从数据库中获取其值(此处为Guid表示经过身份验证的用户的securityStamp列)
<强>第二步: 创建一个 owinmiddlerware ,并在其中检查securityStamp的值是否已更改(通过将securityStamp声明的值与存储在数据库中的值进行比较),然后将用户注销以获取新的访问令牌。 / p>