ASP.NET Core JWT访问令牌撤销_程序开发

ASP.NET Core JWT访问令牌撤销

创始人

2024-09-15 05:00:53

0次

在ASP.NET Core中撤销JWT访问令牌的一种解决方法是使用黑名单或令牌注销列表。以下是一个简单的示例代码：

创建一个黑名单或令牌注销列表的内存存储器：

public class TokenStore
{
    private readonly List _tokens;

    public TokenStore()
    {
        _tokens = new List();
    }

    public void AddToken(string token)
    {
        _tokens.Add(token);
    }

    public bool IsTokenRevoked(string token)
    {
        return _tokens.Contains(token);
    }
}

在Startup.cs文件中配置JWT认证服务和注销终结点：

public void ConfigureServices(IServiceCollection services)
{
    // 添加JWT认证服务
    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(options =>
        {
            // 配置其他选项，如验证密钥、发行者、目标受众等

            options.Events = new JwtBearerEvents
            {
                OnTokenValidated = async context =>
                {
                    var tokenStore = context.HttpContext.RequestServices.GetRequiredService();
                    var token = context.SecurityToken as JwtSecurityToken;

                    if (tokenStore.IsTokenRevoked(token.RawData))
                    {
                        // 如果令牌在黑名单中，则拒绝访问
                        context.Fail("Token revoked");
                    }

                    await Task.CompletedTask;
                }
            };
        });

    // 添加TokenStore服务
    services.AddSingleton();
}

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    // 注册认证中间件
    app.UseAuthentication();

    // 配置其他中间件和路由
}

在注销终结点中将令牌加入黑名单：

[HttpPost]
[Route("revoke")]
public IActionResult RevokeToken([FromBody] RevokeTokenRequest request)
{
    // 添加要撤销的令牌到黑名单
    var tokenStore = HttpContext.RequestServices.GetRequiredService();
    tokenStore.AddToken(request.Token);

    return Ok();
}

这样，当客户端通过注销终结点撤销令牌时，令牌将被添加到黑名单中。在后续的请求中，如果令牌在黑名单中，则该请求将被拒绝。

上一篇：ASP.Net Core JWT登录不设置HttpContext.User.Claims。

下一篇：ASP.NET Core JWT身份验证更改Claims（sub）

ASP.NET Core JWT访问令牌撤销

相关内容

热门资讯