asp.net-core - IdentityServer4 撤销客户端的所有引用令牌,当前的除外
问题描述
我有一个受 IdentityServer4 引用令牌保护的单页应用程序。
我希望用户从多台计算机/设备登录。
在应用程序的设置区域,用户可以更改他们的密码。为此,他们必须输入当前密码以及新密码。
我还希望为用户提供“注销所有其他设备和计算机”的选项。
如果用户勾选此选项,我想使该客户端和该用户存在的任何其他引用令牌无效,但我不想使用户当前使用的引用令牌无效。
我只希望它注销其他设备和计算机。用户应该在他们正在使用的计算机上保持登录状态。
对于我的一生,我看不到使用 IdentityServer4 的方法。我在想我可以简单地对 PersistedGrants 表运行删除,但是我无法知道该表中的哪个持久授权是用户当前正在使用的授权。
请帮忙!
解决方案
我终于能够解决这个问题。确保您使用的是最新版本的 IdentityServer,因为它session_id
在 PersistedGrants 表中包含一列。有了这个,解决方案就很清楚了。
当用户更改密码时:
if (model.EndSessions)
{
var currentSessionId = User.FindFirst(JwtClaimTypes.SessionId).Value;
foreach (var grant in db.PersistedGrants.Where(pg => pg.ClientId == "the-client-name" && pg.SubjectId == user.Id.ToString() && pg.SessionId != currentSessionId).ToList())
{
db.PersistedGrants.Remove(grant);
}
db.SaveChanges();
await userManager.UpdateSecurityStampAsync(user);
}
用户的其他令牌现在被撤销。
但是,用户(在他们的其他计算机/设备上)可能仍然有一个身份验证 cookie,因此如果他们要访问授权端点,他们将获得一个新令牌,而无需再次登录。
为了防止这种情况发生,我们用 a 拦截对新令牌的请求CustomProfileService
,如下所示 -
public override async Task IsActiveAsync(IsActiveContext context)
{
//only run check for cookie authentication
if (context.Subject.Identity.AuthenticationType == IdentityConstants.ApplicationScheme)
{
var validationResponse = await signInManager.ValidateSecurityStampAsync(context.Subject);
if (validationResponse == null)
{
context.IsActive = false;
return;
}
var user = await userManager.GetUserAsync(context.Subject);
context.IsActive = user.IsActive;
}
}
推荐阅读
- arrays - 用C中的指针初始化随机二维矩阵
- pine-script - 如何根据时间范围进入
- python - 不和谐如何使用网关 websocket python 在公会中获得成员
- sqoop - Sqoop Job 以及密码加密引发错误
- c# - 与 DisplayMemberPath 和 SelectedValuePath 绑定的 ComboBox 无法按预期工作
- c - 出于某种原因跳过代码的整个获取部分
- google-apps-script - GoogleSheet 单元格值触发器
- prolog - Prolog 的新功能 - 程序“temp(A)”不存在可从:weather(A) go
- python-3.x - Matplotlib 散点图交互性不起作用
- c# - 如何在 wpf 中与 tcp 服务器正确通信