asp.net - 调用 GenerateChangePhoneNumberTokenAsync() 后身份电子邮件验证不起作用

在创建用户帐户后立即创建电子邮件和 SMS 消息时，我遇到了类似的问题。如果先验证电话，电子邮件验证将失败。但是，如果首先验证电子邮件，则 SMS 验证在我的情况下仍然有效。

我最终做的（从帐户安全的角度来看更有意义）是在验证电话代码之前不发送电子邮件验证。这样，每当有人更改他们的电话号码时，我都会强制重新验证电子邮件，因为这会通知用户更改（如果发生 sim 攻击，他们会收到一封电子邮件）并保持第二种通信方式的验证。

我把E-mail的创建放到了短信验证方法中：

protected void Code_Click(object sender, EventArgs e)
{
    if (!ModelState.IsValid)
    {
        ModelState.AddModelError("", "Invalid code");
        return;
    }

    var manager = Context.GetOwinContext().GetUserManager<ApplicationUserManager>();
    var signInManager = Context.GetOwinContext().Get<ApplicationSignInManager>();

    var result = manager.ChangePhoneNumber(User.Identity.GetUserId(), PhoneNumber.Value, Code.Text);

    if (result.Succeeded)
    {
        var userInfo = manager.FindById(User.Identity.GetUserId());

        if (userInfo != null)
        {
            signInManager.SignIn(userInfo, isPersistent: false, rememberBrowser: false);
            // force 2FA login with successful phone number
            manager.SetTwoFactorEnabled(User.Identity.GetUserId(), true);

            // force new cell phone changes to un-confirm & re-verify email for security reasons
            userInfo.EmailConfirmed = false;
            var EmCode = manager.GenerateEmailConfirmationToken(User.Identity.GetUserId());
            var callbackUrl = IdentityHelper.GetUserConfirmationRedirectUrl(EmCode, User.Identity.GetUserId(), Request);
            manager.SendEmail(User.Identity.GetUserId(), "Confirm your account", "A phone number has been added to your account. For security reasons, please confirm your email by clicking <a href=\"" + callbackUrl + "\">here</a>.");

            Response.Redirect("/Account/Manage?m=AddPhoneNumberSuccess");
        }
    }

    ModelState.AddModelError("", "Failed to verify phone");
}

如果电子邮件验证比 SMS 更重要，但两者都需要，您也可以相反，将 SMS 代码发送放在电子邮件验证方法中。在我的情况下，电话号码比电子邮件更重要，因此它在注册过程中具有优先权。

现在回想起来，我很高兴它没有按照我最初计划的方式工作，因为这种方法更简单，用户不太可能忘记做其中一个。这个解决方案会引导他们完成它，而不是用任务轰炸用户。