如何使 ASP.Net Web API 2 Bearer 令牌无效？答案

【问题标题】：How do you invalidate an ASP.Net Web API 2 Bearer token?如何使 ASP.Net Web API 2 Bearer 令牌无效？
【发布时间】：2013-11-30 15:14:16
【问题描述】：

我想强制使由 ASP.Net Web API2 项目模板中的默认 ApplicationOAuthProvider 颁发的不记名令牌无效。

该项目有以下代码，不适用于 Bearer 令牌。

Authentication.SignOut(CookieAuthenticationDefaults.AuthenticationType);

【问题讨论】：

【解决方案1】：

没有内置任何东西 - 您可以为它构建自己的机制，这通常涉及对每个请求进行数据库检查。

另一件事是，保持令牌生命周期较短并使用刷新令牌之类的东西 - 请参见此处： http://leastprivilege.com/2013/11/15/adding-refresh-tokens-to-a-web-api-v2-authorization-server/

【讨论】：

非常感谢。我认为建立自己的机制是最好的。我注意到生成另一个不记名令牌会使前一个不记名令牌无效。因此，注销过程的一部分可以简单地创建另一个不返回给用户的令牌。
不确定您是如何观察到这种行为的 - 但我无法确认。
@Theo，“生成另一个不记名令牌会使前一个不记名令牌无效”。这不是不记名令牌的默认行为，因为它们根据用户信息和系统日期验证令牌。如果它们符合这些条件，则它们是有效的。
疯了，我不知道哪些是授权的应用程序，也无法禁用它们，他们在想什么？
您找到解决此问题的方法了吗？我目前处于完全相同的情况，并且拒绝相信他们在为 Web api 编码身份时没有考虑到这个问题。