当我从我们的单页应用程序登录时,我正在使用asp.net身份(WebApi 2,MVC 5,而不是.net核心)为用户的身份添加声明。看起来像这样(我已经删除了对无效名称,锁定帐户等的检查)
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
var userManager = context.OwinContext.GetUserManager<CompWalkUserManager>();
var user = await userManager.FindByNameAsync(context.UserName);
var check = await userManager.CheckPasswordAsync(user, context.Password);
if (!check)
{
await userManager.AccessFailedAsync(user.Id);
context.SetError("invalid_grant", invalidUser);
return;
}
ClaimsIdentity oAuthIdentity = await user.GenerateUserIdentityAsync(userManager,
OAuthDefaults.AuthenticationType);
ClaimsIdentity cookiesIdentity = await user.GenerateUserIdentityAsync(userManager,
CookieAuthenticationDefaults.AuthenticationType);
//These claims are key/value pairs stored in the local database
var claims = GetClaimsForUser(user);
cookiesIdentity.AddClaims(claims);
oAuthIdentity.AddClaims(claims);
AuthenticationProperties properties = CreateProperties(user.UserName);
AuthenticationTicket ticket = new AuthenticationTicket(oAuthIdentity, properties);
context.Validated(ticket);
context.Request.Context.Authentication.SignIn(cookiesIdentity);
}
在这一点上,一切都按预期进行。当我的api上的方法被调用时,我可以通过AuthorizationFilterAttribute
来检查用户的声明。
但是,管理员可能会在用户登录时更改声明的值(我们的令牌有效期为14天)。例如,我们有一个名为Locations
的声明,其值为EditAndDelete
。管理员可以在数据库中将此值更改为NoAccess
,但是身份验证对此一无所知。
我看到在运行时我可以在identity
中添加或删除声明,但是这些更改不会在当前请求之后继续存在。有没有办法动态更新cookie中的auth票证?我希望能够用新值更新我的Identity
而无需用户注销。
答案 0 :(得分:2)
如果要使用身份验证方式,则需要在每次登录时都进入数据库。您将SecurityStamp
的验证间隔设置为0:
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
LoginPath = new PathString("/Account/Login"),
Provider = new CookieAuthenticationProvider
{
OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
validateInterval: TimeSpan.FromSeconds(0),
regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
}
});
更改用户权限后,您将更新其安全性戳:
UserManager.UpdateSecurityStamp(userId);