我不知道如何进一步缩小这个问题:我们正在使用Auth0和WebApi 2.我需要显示当前登录的所有用户的列表。更具体地说,Auth0发出令牌,此令牌是然后将每个请求发送到我们的WebApi。我想,每次向具有特定令牌的任何控制器发出请求时,我都需要将令牌和关联的id写入数据库吗?有人能否让我大致了解我是否在这里正确的道路或我应该阅读的内容?
Auth0文档几乎没有帮助,因为这似乎是一个不寻常的要求。与:http://www.asp.net/web-api/overview/security
相同我不关心客户。只需要去服务器的方式。
编辑:我在评论中添加了另一部分这个问题:我还想知道如何撤销令牌,立即生效。为了理解这一点,我认为我需要准确理解后端如何验证前端发送的令牌,以及Auth0的服务器是否完全被调用。
答案 0 :(得分:2)
我是Auth0的开发人员代言人。让我看看我是否可以帮助你:)。
拥有一个只检查JWT的API的全部想法是拥有一个无状态API。 “登录”在概念中并不存在。所有JWT都会在某个时间点到期,这就是您调用API时所检查的内容。
因此,我建议如下:
每次进行API调用时,都会将JWT保存在内存中。然后,我们需要登录用户,您只需获取这些列表中的所有JWT,并将未过期的JWT显示为“已登录”。此外,你应该在列表上每隔5分钟有一个cron,它会清除JWT到期。它不是真正“登录”的用户,但我认为它足够接近。
那会有用吗?
由于