【发布时间】:2015-03-21 16:14:57
【问题描述】:
我们在 Web 表单应用程序中使用 Microsoft 的 Identity Framework v2.0。一切运作良好。我们决定在新帐户设置过程中添加电子邮件验证。如果我们在同一页面中创建令牌后验证令牌,我们就成功了。但是如果我们尝试在不同的页面中验证令牌,它就会失败。过程很简单:
- 管理员通过提供用户的电子邮件和姓名来创建一个新帐户。 (我们不支持自行注册)。
- 用户单击他在电子邮件中获得的链接以验证电子邮件是否已收到。
这是创建电子邮件验证令牌的代码:
var manager = new UserManager();
var user = new ApplicationUser() { UserName = EmailAddress.Text, Email = EmailAddress.Text, FirstName = FirstName.Text, LastName = LastName.Text };
IdentityResult result = manager.Create(user);
var provider = new DpapiDataProtectionProvider();
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(provider.Create("EmailConfirmation"))
{
TokenLifespan = TimeSpan.FromHours(24)
};
var strToken = manager.GenerateEmailConfirmationToken(user.Id);
//IdentityResult validToken = manager.ConfirmEmail(user.Id, strToken);
strToken = HttpUtility.UrlEncode(strToken.ToString());
注意:如果我们取消注释以 //IdentityResult validToken... 开头的行,那么它会成功。
这是 VerifyEmail 页面上的代码:
string userid = Request.QueryString["id"].ToString();
string tokenReceived = Request.QueryString["token"].ToString();
//tokenReceived = HttpUtility.UrlDecode(tokenReceived);
ApplicationUser User = new ApplicationUser();
var manager = new UserManager();
User = manager.FindById(userid);
var provider = new DpapiDataProtectionProvider();
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(provider.Create("EmailConfirmation"))
{
TokenLifespan = TimeSpan.FromHours(24)
};
IdentityResult validToken = manager.ConfirmEmail(User.Id, tokenReceived);
validToken 行在此文件中不成功。我已经验证了两个文件中的字符串 User.Id 和 tokenReceived 完全匹配,因此没有发生 URL 损坏。 (这就是我注释掉 UrlDecode 的原因,因为它似乎是由浏览器自动解码的——当我尝试解码时,它与编码前的字符串不是 100% 相同)。
所以我确定我们调用的是同一个方法 (ConfirmEmail),并且传递的两个参数是完全相同的字符串。我也知道一个令牌只能被验证一次,所以我不会在验证一次后重新使用它们。
欢迎提出任何想法。
【问题讨论】:
标签: asp.net forms asp.net-identity email-verification