现在我正处于 Web API 中 owin 承载令牌认证的学习阶段。该代码是使用基于令牌和 cookie 的身份验证实现的。代码是
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
{
try
{
using (UserManager<ApplicationUser> userManager = userManagerFactory())
{
ApplicationUser user = await userManager.FindAsync(context.UserName, context.Password);
if (user == null || user.IsDeleted)
{
context.SetError("invalid_grant", "The user name or password is incorrect.");
return;
}
ClaimsIdentity oAuthIdentity = await userManager.CreateIdentityAsync(user,
context.Options.AuthenticationType);
ClaimsIdentity cookiesIdentity = await userManager.CreateIdentityAsync(user,
CookieAuthenticationDefaults.AuthenticationType);
var roleName = await GetRoleName(user.Roles.First().RoleId);
AuthenticationProperties properties = CreateProperties(user.UserName, roleName);
AuthenticationTicket ticket = new AuthenticationTicket(oAuthIdentity, properties);
context.Validated(ticket);
context.Request.Context.Authentication.SignIn(cookiesIdentity);
}
}
catch (Exception ex)
{
throw ex;
}
}
public override Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
{
// Resource owner password credentials does not provide a client ID.
if (context.ClientId == null)
{
context.Validated();
}
return Task.FromResult<object>(null);
}
public override Task ValidateClientRedirectUri(OAuthValidateClientRedirectUriContext context)
{
if (context.ClientId == _publicClientId)
{
Uri expectedRootUri = new Uri(context.Request.Uri, "/");
if (expectedRootUri.AbsoluteUri == context.RedirectUri)
{
context.Validated();
}
}
return Task.FromResult<object>(null);
}
该代码是由同事实现的,我有一些疑问。
令牌认证基于生成的令牌。我为我的用户生成了一个令牌,其角色是“管理员”。现在我可以访问受限操作,因为用户具有“管理员”角色。但在那之后,我将同一老用户的角色更改为“用户”。现在使用相同的旧令牌,即使他现在不在“管理员”中,我也可以访问该资源。实际上我读了一些文章,这是用额外的自定义逻辑实现的。没关系
现在我将用户密码更改为其他密码。现在本身,我可以使用相同的旧令牌访问资源。我认为这也不好,即使我也创建了短暂的令牌。
任何人请指导逮捕这个或我错过了什么?当我调用带有“授权”标头的操作时,实际调用的是哪个方法