调用 GenerateChangePhoneNumberTokenAsync() 后身份电子邮件验证不起作用

【问题标题】:Identity email verification not working after GenerateChangePhoneNumberTokenAsync() called调用 GenerateChangePhoneNumberTokenAsync() 后身份电子邮件验证不起作用
【发布时间】:2019-11-28 11:15:29
【问题描述】:

我最近在使用 asp.net 身份验证电子邮件时收到“无效令牌”错误。

我有详细的流程如下:

每当用户注册时,系统都会发送一封电子邮件以验证帐户。

string emailConfirmationToken = await _userManager.GenerateEmailConfirmationTokenAsync(userId);

用户注册后,无需验证邮箱即可添加手机号,系统将验证码发送至手机号。

string phoneNumberVerifyCode = await _userManager.GenerateChangePhoneNumberTokenAsync(loginUserId, model.phone);

问题是如果用户首先验证电话号码然后确认电子邮件显示“令牌无效”错误,如果用户首先验证电子邮件然后“电话号码代码无效”。

你能帮我解决这个问题吗?

提前致谢!

【问题讨论】:

    标签: asp.net identity email-verification usermanager


    【解决方案1】:

    在创建用户帐户后立即创建电子邮件和 SMS 消息时,我遇到了类似的问题。如果先验证电话,电子邮件验证将失败。但是,如果先验证电子邮件,则短信验证在我的情况下仍然有效。

    我最终做的(从帐户安全的角度来看更有意义)是在验证电话代码之前不发送电子邮件验证。这样,每当有人更改他们的电话号码时,我都会强制重新验证电子邮件,因为这会通知用户更改(如果发生 sim 攻击,他们会收到一封电子邮件)并保持第二种通信方式的验证。

    我把E-mail的创建放入短信验证方式中:

    protected void Code_Click(object sender, EventArgs e)
{
    if (!ModelState.IsValid)
    {
        ModelState.AddModelError("", "Invalid code");
        return;
    }

    var manager = Context.GetOwinContext().GetUserManager<ApplicationUserManager>();
    var signInManager = Context.GetOwinContext().Get<ApplicationSignInManager>();

    var result = manager.ChangePhoneNumber(User.Identity.GetUserId(), PhoneNumber.Value, Code.Text);

    if (result.Succeeded)
    {
        var userInfo = manager.FindById(User.Identity.GetUserId());

        if (userInfo != null)
        {
            signInManager.SignIn(userInfo, isPersistent: false, rememberBrowser: false);
            // force 2FA login with successful phone number
            manager.SetTwoFactorEnabled(User.Identity.GetUserId(), true);

            // force new cell phone changes to un-confirm & re-verify email for security reasons
            userInfo.EmailConfirmed = false;
            var EmCode = manager.GenerateEmailConfirmationToken(User.Identity.GetUserId());
            var callbackUrl = IdentityHelper.GetUserConfirmationRedirectUrl(EmCode, User.Identity.GetUserId(), Request);
            manager.SendEmail(User.Identity.GetUserId(), "Confirm your account", "A phone number has been added to your account. For security reasons, please confirm your email by clicking <a href=\"" + callbackUrl + "\">here</a>.");

            Response.Redirect("/Account/Manage?m=AddPhoneNumberSuccess");
        }
    }

    ModelState.AddModelError("", "Failed to verify phone");
}

    如果电子邮件验证比 SMS 更重要,但两者都需要,您也可以相反,将 SMS 代码发送放在电子邮件验证方法中。在我的情况下,电话号码比电子邮件更重要,因此它在注册过程中具有优先权。

    现在回想起来,我很高兴它没有按我最初计划的方式工作,因为这种方法更简单,用户不太可能忘记做其中一个。这个解决方案会引导他们完成它,而不是用任务轰炸用户。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2019-05-08
      • 1970-01-01
      • 2018-06-17
      • 1970-01-01
      • 2014-06-08
      • 1970-01-01
      • 1970-01-01
      • 2023-03-18
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode