带有承载令牌的 Asp.Net Identity IUserSecurityStampStore

Question

我正在构建一个 ASP.Net WEB API 2 项目，并且我正在通过 OWIN 中间件使用 Bearer Tokens 来确保安全。

场景：

• 用户通过移动应用程序使用 Web API 进行身份验证，接收并访问有效期最长为 15 天的令牌，然后客户端应用程序必须重新访问令牌端点。

  李>

• 登录用户通过客户端应用程序更改密码。问题 这是用户当前的访问令牌现在有不正确的 密码，他们仍然可以访问。

我想回答的第一个问题：-

这真的是个问题吗？或者不好..我不确定。

我知道，通过 cookie 身份验证，您可以实现 IUserSecurityStampStore 接口并检查数据库中用户身份中发生的更改，然后使用户 cookie 无效并且需要新的 cookie。

我认为此实现不适用于承载令牌是否正确？

这是我在使用 Bearer Tokens 时需要关注的事情吗？

Answer 1

这是访问令牌乐趣的一部分，它们很难撤销/无效。

如果您不介意每次请求都访问您的身份数据库，则可以检查密码是否已更改。也许将安全标记存储在令牌中作为声明并将其与最新标记进行比较？

但这真的是个问题吗？取决于撤销对您的重要性。在大多数用例中，如果您保持访问令牌的生命周期较短、允许的范围最小并且不滥用刷新令牌，那么您应该很高兴。