Asp.Net身份IUserSecurityStampStore与承载令牌

Question

我正在建立一个ASP.Net WEB API 2项目的过程中，我使用承载令牌通过OWIN中间件的安全性。

场景：

• 通过移动应用程序用户与Web API认证，接收和访问令牌的有效期为15天，客户端应用程序必须重新访问令牌端点之前。

• 登录的用户通过客户端应用程序更改密码。问题 这里是用户的当前访问令牌现在具有不正确的 密码，并且他们仍然有权访问。

我想在回答第一个问题： -

这实际上是一个问题吗？或坏..我不知道这是。

我知道，通过cookie身份验证，您可以实现IUserSecurityStampStore接口并检查数据库中发生的用户身份变化，然后使用户cookie失效并需要新的cookie。

我正确地相信这个实现不适用于无记号令牌吗？

这是我使用无记号令牌时需要关注的事情吗？

Answer 1

这是获得令牌乐趣的一部分，它们很难撤销/无效。

如果您不介意在每个请求中触及您的身份数据库，则可以检查并查看密码是否已更改。也许将标记中的安全标记作为索赔存储并将其与最新的邮票进行比较？

但是，这实际上是一个问题？取决于撤销对您的重要性。在大多数使用情况下，如果您保持访问令牌生命周期短，允许的范围最小并且不滥用刷新令牌，则应该很好。