我们在 Web 表单应用程序中使用 Microsoft 的 Identity Framework v2.0。一切运作良好。我们决定在新帐户设置过程中添加电子邮件验证。如果我们在同一页面中创建令牌后验证令牌,我们就成功了。但是如果我们尝试在不同的页面中验证令牌,它就会失败。过程非常简单:
- 管理员通过提供用户的电子邮件和姓名来创建一个新帐户。(我们不支持自行注册)。
- 用户单击他在电子邮件中收到的链接以验证电子邮件是否已收到。
以下是创建电子邮件验证令牌的代码:
var manager = new UserManager();
var user = new ApplicationUser() { UserName = EmailAddress.Text, Email = EmailAddress.Text, FirstName = FirstName.Text, LastName = LastName.Text };
IdentityResult result = manager.Create(user);
var provider = new DpapiDataProtectionProvider();
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(provider.Create("EmailConfirmation"))
{
TokenLifespan = TimeSpan.FromHours(24)
};
var strToken = manager.GenerateEmailConfirmationToken(user.Id);
//IdentityResult validToken = manager.ConfirmEmail(user.Id, strToken);
strToken = HttpUtility.UrlEncode(strToken.ToString());
注意:如果我们取消注释以 //IdentityResult validToken... 开头的行,那么它会成功。
这是 VerifyEmail 页面上的代码:
string userid = Request.QueryString["id"].ToString();
string tokenReceived = Request.QueryString["token"].ToString();
//tokenReceived = HttpUtility.UrlDecode(tokenReceived);
ApplicationUser User = new ApplicationUser();
var manager = new UserManager();
User = manager.FindById(userid);
var provider = new DpapiDataProtectionProvider();
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(provider.Create("EmailConfirmation"))
{
TokenLifespan = TimeSpan.FromHours(24)
};
IdentityResult validToken = manager.ConfirmEmail(User.Id, tokenReceived);
此文件中的 validToken 行不成功。我已经验证了两个文件中的字符串 User.Id 和 tokenReceived 完全匹配,因此没有发生 URL 损坏。(这就是我注释掉 UrlDecode 的原因,因为它似乎是由浏览器自动解码的——当我尝试解码时,它与编码前的字符串不是 100% 相同)。
所以我确定我们调用的是相同的方法(ConfirmEmail),并且传递的两个参数是完全相同的字符串。我也知道一个令牌只能被验证一次,所以我不会在验证后重新使用它们。
任何想法都会受到欢迎。