如何在 ASP.NET Core Identity 中注销另一个用户(不是当前登录的用户)。
我知道SignInManager 中有一个SignOutAsync() 方法,但似乎没有覆盖接受用户作为参数。我正在寻找类似的东西:
signInManager.SignOutAsync(user);
【问题讨论】:
标签: c# asp.net-core asp.net-core-mvc asp.net-core-identity
首先更新该用户的安全标记:
await userManager.UpdateSecurityStampAsync(user)
那么在SecurityStampValidationInterval 到来之前,该用户不会被注意到这些变化。因此将其设置为Zero 以立即注销:
services.AddIdentity<User, Role>(identityOptions =>
{
// enables immediate logout, after updating the user's stat.
identityOptions.SecurityStampValidationInterval = TimeSpan.Zero;
}
更新:对于 ASP.NET Core Identity 2.x、3.x、5.x
services.Configure<SecurityStampValidatorOptions>(options =>
{
// enables immediate logout, after updating the user's stat.
options.ValidationInterval = TimeSpan.Zero;
});
【讨论】:
severely impact 只是one 对数据库的查询。如果该数据库无法处理它,请更改它!
one 查询 - 计算 ASP.NET Core 2.X 上的 5 个额外查询(AspNetUser、AspNetUserClaims、AspNetUserRoles、AspNetRoles、AspNetRoleClaims)
我认为您可能会发现一些 revoke 功能,这些功能可以强制用户退出。目前,作为无状态连接和基于令牌(或者我们可以说基于声明)身份验证的性质,它并不容易实现。
应访问已撤销的用户到令牌验证端点,以检查令牌是否有效。在此之前,(1) 用户可以显示为已登录,或者 (2) 我们需要实现客户端(应用程序或 Web)以频繁访问令牌端点 非常 直到令牌过期或撤销。
SignIn/Out 仅限于令牌授权的用户身份范围,因此可行的解决方案是使令牌无效。
【讨论】:
IUserSecurityStampStore.SetSecurityStampAsync(newValue) ?