c# - Microsoft Identity - 从角色中删除用户，但用户在注销之前仍然可以访问

Question

ApplicationDbContext _context = new ApplicationDbContext();
UserManager<ApplicationUser> _userManager = new UserManager<ApplicationUser>(new UserStore<ApplicationUser>(_context));

我通过以下方式从角色中删除用户：

userManager.RemoveFromRole("userId", "roleName");

它几乎可以按照我的意愿工作。但是，如果我删除了当前登录到我的应用程序的用户，那么他仍然可以“授权”我的所有 WebApi 调用，直到他被注销。我究竟做错了什么？

编辑：

或者如何从代码中注销给定用户？

Answer 1

两件事情：

• 确保在更改用户/角色后，调用 _context.SaveChanges()
• 要要求用户的活动会话重新验证，请使用 ASP.NET 中的 SecurityStamp 功能。什么是 ASP.NET Identity 的 IUserSecurityStampStore<TUser> 接口？

如果您使用 OAuth 声明，这是如何使会话无效的一个很好的示例：https ://timmlotter.com/blog/asp-net-identity-invalidate-all-sessions-on-securitystamp-update/

希望这可以帮助！