我正在做一些关于验证webapi2.1内容的测试,我有点不确定它是如何工作的。
我有一个带有[授权]的webapi控制器,所以当我尝试在没有持票人令牌的情况下调用它时,我会按预期获得401。
第1步 - 我生成一个新令牌并将其添加到我的请求的标题中,然后我收回预期的结果。 第2步我生成一个具有相同帐户详细信息的新令牌。我可以使用旧令牌或新令牌访问数据。
为什么第一个令牌仍然有效?我原本以为这应该使用旧令牌返回401?
答案 0 :(得分:2)
将持票人代币视为与电影厅或博物馆的门票类似。当您使用现金或信用卡(用户名/密码等凭证)在柜台(Auth服务器)付款时,您将获得一张票(来自Auth服务器的令牌)。您现在可以使用此票证访问以前无法访问的安全环境(网页或方法)。
为自己购买另一张机票并不会使您购买的上一张机票无效。你现在有两张基本相同的票。它只会让你付出更多的代价。在这种情况下,成本是数据库的另一个命中,以匹配您的凭据。
希望这是有道理的。