2

我正在围绕验证 webapi2.1 的东西进行一些测试,但我有点不确定它是如何工作的。

我有一个设置了 [Authorize] 的 webapi 控制器,所以当我尝试在没有承载令牌的情况下调用它时,我得到了预期的 401。

第 1 步 - 我生成一个新令牌并将其添加到我的请求的标头中,然后我得到了预期的结果。第 2 步我生成一个具有相同帐户详细信息的新令牌。我可以使用旧令牌或新令牌访问数据。

为什么第一个令牌仍然有效?我会认为这应该使用旧令牌返回 401?

4

1 回答 1

2

将不记名代币视为类似于电影院或博物馆的门票。当您使用现金或信用卡(用户名/密码等凭证)在柜台(身份验证服务器)付款时,您将获得一张票(来自身份验证服务器的令牌)。您现在可以使用此票证访问以前无法访问的安全环境(网页或方法)。

为自己购买另一张票不会使您之前购买的票无效。你现在有两张做基本相同的事情的票。它只会让你付出更多。在这种情况下,成本是对数据库的另一个打击,以匹配您的凭据。

希望这是有道理的。

于 2015-04-24T10:09:39.847 回答