ASP.NET Identity 2 电子邮件确认无效令牌

Question

我知道，这个问题在 SO 中已经被问过很多次了，但是我的问题有点不同。

GenerateEmailConfirmationTokenAsync 和 ConfirmEmailAsync 方法有一个奇怪的问题。

在发送电子邮件之前，我正确地使用了HttpUtility.UrlEncode 和HttpUtility.UrlDecode 方法。

奇怪的是，在创建用户和收到邮件后，我永远无法重现任何错误。但是在同样的环境下，10个注册用户中就有3个反映了Invalid Token的问题。

我进行了更多搜索，发现它可能是由于机器密钥而发生的，如果重新启动 IIS 或其他原因或发布后，机器密钥可能会发生变化。所以为了解决这个问题，我生成了一个机器密钥并保存在 web.config 中，但问题似乎仍然存在。

我将其托管在 Azure 应用服务中。

想知道还有什么问题吗？

更新：我在这里添加代码供大家查看

string code = await UserManager.GenerateEmailConfirmationTokenAsync(user.Id);

var callbackUrl = new Uri(string.Format("{0}?userId={1}&code={2}", ConfigurationManager.AppSettings["EmailConfirmationURL"], user.Id, HttpUtility.UrlEncode(code)));

string emailTemplate = MailTemplates.UserRegistrationEmailTemplate(FirstName, CompanyName, callbackUrl);

await CustomEmail.SendEmail(new List<string> { user.Email }, "Confirm your account", emailTemplate);

确认的作用是

IdentityResult result = await UserManager.ConfirmEmailAsync(userId, HttpUtility.UrlDecode(code));

Answer 1

一个可能的原因是，如果用户提交令牌的时间过长，则令牌在验证之前就已过期。令牌有一个生命周期，在它们失效之前必须在该生命周期内使用。默认TokenLifespanis 一天（24 小时）。

检查身份配置代码以了解令牌寿命是否有任何更改。

例如以下代码将令牌设置为在 3 小时后过期

if (dataProtectionProvider != null)
{
    manager.UserTokenProvider =
       new DataProtectorTokenProvider<ApplicationUser>
          (dataProtectionProvider.Create("ASP.NET Identity"))
          {                    
             TokenLifespan = TimeSpan.FromHours(3)
          };
}

使用上面的代码，忘记密码和电子邮件确认令牌将在 3 小时后过期。过期后尝试使用令牌的用户将收到无效令牌错误。

OP 表示无法重新创建问题。这可能是因为令牌在令牌生命周期内得到验证。

Answer 2

请使用Url.Action 而不是使用字符串连接创建网址。 Url.Action 在最新的 MVC 版本中进行幕后编码，可以避免编码和解码操作。

以下是您可以使用的代码 sn-p。

string code = await UserManager.GenerateEmailConfirmationTokenAsync(user.Id);

                        var callbackUrl = Url.Action("ConfirmEmail", "Account", new
                        {
                            userId = user.Id,
                            code = code,
                            returnUrl = model.ReturnUrl
                        }, protocol: Request.Url.Scheme);