ASP.NET Core. 在更改密码后如何使JWT-Token失效
创始人
2024-09-15 16:30:31
0

在ASP.NET Core中,可以使用JWT(JSON Web Token)来验证和授权用户。当用户更改密码后,我们可以通过使之前的JWT-Token失效来阻止用户使用旧的令牌访问受保护的资源。

以下是通过将令牌添加到黑名单中使JWT-Token失效的示例代码:

  1. 创建一个BlacklistToken实体类,用于存储已失效的令牌:
public class BlacklistToken
{
    public int Id { get; set; }
    public string Token { get; set; }
    public DateTime ExpireDate { get; set; }
}
  1. 创建一个BlacklistTokenDbContext用于操作数据库:
public class BlacklistTokenDbContext : DbContext
{
    public BlacklistTokenDbContext(DbContextOptions options) : base(options)
    {
    }

    public DbSet BlacklistTokens { get; set; }
}
  1. 创建一个TokenManager类,用于管理JWT-Token:
public class TokenManager
{
    private readonly BlacklistTokenDbContext _dbContext;
    private readonly IConfiguration _configuration;

    public TokenManager(BlacklistTokenDbContext dbContext, IConfiguration configuration)
    {
        _dbContext = dbContext;
        _configuration = configuration;
    }

    public void InvalidateToken(string token)
    {
        var blacklistToken = new BlacklistToken
        {
            Token = token,
            ExpireDate = DateTime.UtcNow.AddMinutes(Convert.ToDouble(_configuration["Jwt:ExpirationMinutes"]))
        };

        _dbContext.BlacklistTokens.Add(blacklistToken);
        _dbContext.SaveChanges();
    }

    public bool IsTokenBlacklisted(string token)
    {
        return _dbContext.BlacklistTokens.Any(t => t.Token == token && t.ExpireDate > DateTime.UtcNow);
    }
}
  1. 在用户更改密码的方法中,调用TokenManager的InvalidateToken方法使令牌失效:
public IActionResult ChangePassword()
{
    // 更改密码逻辑...

    // 使令牌失效
    var userId = User.FindFirst(ClaimTypes.NameIdentifier)?.Value;
    var token = HttpContext.Request.Headers["Authorization"].ToString().Replace("Bearer ", string.Empty);
    _tokenManager.InvalidateToken(token);

    return Ok();
}
  1. 在授权过滤器中,检查令牌是否在黑名单中:
public class JwtAuthorizationFilter : IAuthorizationFilter
{
    private readonly TokenManager _tokenManager;

    public JwtAuthorizationFilter(TokenManager tokenManager)
    {
        _tokenManager = tokenManager;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var token = context.HttpContext.Request.Headers["Authorization"].ToString().Replace("Bearer ", string.Empty);

        if (_tokenManager.IsTokenBlacklisted(token))
        {
            context.Result = new UnauthorizedResult();
        }
    }
}

通过以上步骤,在用户更改密码后,旧的JWT-Token将会被添加到黑名单中,后续使用该令牌访问受保护的资源时将会被拒绝。

上一篇:Asp.net Core. 使用类型参数(而非泛型)配置IOptions方法。

下一篇:ASP.NET Core. 在没有使用JavaScript的情况下从Select标签中获取值。

相关内容

热门资讯

七分钟开挂!天天飞小鸡辅助,榕... >>您好:天天飞小鸡辅助确实是有挂的,很多玩家在这款天天飞小鸡辅助游戏中打牌都会发现很多用户的牌特别...
6分钟开挂!手机辅助脚本工具,... 手机辅助脚本工具开挂教程视频分享装挂详细步骤在当今的网络游戏中,手机辅助脚本工具作为一种经典的娱乐方...
第3分钟辅助!反杀大厅辅助,抚... 第3分钟辅助!反杀大厅辅助,抚州辅助器中至小程序(玩家必知教程开挂辅助神器);1.抚州辅助器中至小程...
三分钟开挂!微信呢小程序游戏辅... 【亲,微信呢小程序游戏辅助器 这款游戏可以开挂的,确实是有挂的,很多玩家在这款微信呢小程序游戏辅助器...
第十分钟辅助!wepoker透... 【福星临门,好运相随】;第十分钟辅助!wepoker透视挂底牌,天天开心王国有挂吗(今日头条开挂辅助...
九分钟辅助!打两圈绝对有辅助,... >>您好:打两圈绝对有辅助确实是有挂的,很多玩家在这款打两圈绝对有辅助游戏中打牌都会发现很多用户的牌...
第6分钟辅助!hhpoker辅... 第6分钟辅助!hhpoker辅助软件是真的么,微信小程序游戏破解器(科技新动态开挂辅助安装);小薇(...
第4分钟开挂!上饶中至打炸漏洞... 第4分钟开挂!上饶中至打炸漏洞,中至吉安黑科技(透视能赢开挂辅助下载)您好:上饶中至打炸漏洞这款游戏...
第八分钟辅助!闲逸辅助神器免费... 第八分钟辅助!闲逸辅助神器免费,手机微乐小程序游戏破解器(总算清楚开挂辅助插件)相信很多朋友都在电脑...
第十分钟辅助!微信小程序雀神广... 微信小程序雀神广东智能辅助是一款专注玩家量身打造的游戏记牌类型软件,在微信小程序雀神广东智能辅助这款...