我正在尝试构建一个具有ASP.NET web api登录功能的移动应用程序,我需要实现基于令牌的身份验证,
我需要的是,当用户第一次使用用户名和密码登录时,将生成一个带有过期日期和刷新令牌的新令牌,我正在考虑刷新令牌,因为用户没有每次令牌到期时登录,
令牌保存在移动设备和数据库中,因此对于每个请求,无论是在请求标头中还是在发布的数据中发送令牌,
我不完全知道基于令牌的身份验证如何工作,无法将加密或散列的令牌发送给用户并在服务器中处理请求
修改 中间的攻击者只需读取令牌并开始使用令牌向服务器发送请求。我的意思是他不需要知道令牌的实际含义。
我创建了一个具有这些属性的类(UserID,Token,RefreshToken,ExpiryDate),但我读到这不是一个好方法,
我使用AES进行加密,使用SHA256进行哈希
谢谢你的帮助,
答案 0 :(得分:0)
请参阅以下文章,以了解基于令牌的身份验证在ASP.NET Web API中的工作原理。
答案 1 :(得分:0)
搜索OpenID和OpenID Connect规范,他们会告诉您令牌在您的情况下应该如何工作(非机密隐式客户端流程)。如果您不想使用外部openid服务器,可以轻松地将OpenID端点添加到您的asp.net web api。