ASP.NET Core. 在更改密码后如何使JWT-Token失效
创始人
2024-09-15 16:30:31
0

在ASP.NET Core中,可以使用JWT(JSON Web Token)来验证和授权用户。当用户更改密码后,我们可以通过使之前的JWT-Token失效来阻止用户使用旧的令牌访问受保护的资源。

以下是通过将令牌添加到黑名单中使JWT-Token失效的示例代码:

  1. 创建一个BlacklistToken实体类,用于存储已失效的令牌:
public class BlacklistToken
{
    public int Id { get; set; }
    public string Token { get; set; }
    public DateTime ExpireDate { get; set; }
}
  1. 创建一个BlacklistTokenDbContext用于操作数据库:
public class BlacklistTokenDbContext : DbContext
{
    public BlacklistTokenDbContext(DbContextOptions options) : base(options)
    {
    }

    public DbSet BlacklistTokens { get; set; }
}
  1. 创建一个TokenManager类,用于管理JWT-Token:
public class TokenManager
{
    private readonly BlacklistTokenDbContext _dbContext;
    private readonly IConfiguration _configuration;

    public TokenManager(BlacklistTokenDbContext dbContext, IConfiguration configuration)
    {
        _dbContext = dbContext;
        _configuration = configuration;
    }

    public void InvalidateToken(string token)
    {
        var blacklistToken = new BlacklistToken
        {
            Token = token,
            ExpireDate = DateTime.UtcNow.AddMinutes(Convert.ToDouble(_configuration["Jwt:ExpirationMinutes"]))
        };

        _dbContext.BlacklistTokens.Add(blacklistToken);
        _dbContext.SaveChanges();
    }

    public bool IsTokenBlacklisted(string token)
    {
        return _dbContext.BlacklistTokens.Any(t => t.Token == token && t.ExpireDate > DateTime.UtcNow);
    }
}
  1. 在用户更改密码的方法中,调用TokenManager的InvalidateToken方法使令牌失效:
public IActionResult ChangePassword()
{
    // 更改密码逻辑...

    // 使令牌失效
    var userId = User.FindFirst(ClaimTypes.NameIdentifier)?.Value;
    var token = HttpContext.Request.Headers["Authorization"].ToString().Replace("Bearer ", string.Empty);
    _tokenManager.InvalidateToken(token);

    return Ok();
}
  1. 在授权过滤器中,检查令牌是否在黑名单中:
public class JwtAuthorizationFilter : IAuthorizationFilter
{
    private readonly TokenManager _tokenManager;

    public JwtAuthorizationFilter(TokenManager tokenManager)
    {
        _tokenManager = tokenManager;
    }

    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var token = context.HttpContext.Request.Headers["Authorization"].ToString().Replace("Bearer ", string.Empty);

        if (_tokenManager.IsTokenBlacklisted(token))
        {
            context.Result = new UnauthorizedResult();
        }
    }
}

通过以上步骤,在用户更改密码后,旧的JWT-Token将会被添加到黑名单中,后续使用该令牌访问受保护的资源时将会被拒绝。

上一篇:Asp.net Core. 使用类型参数(而非泛型)配置IOptions方法。

下一篇:ASP.NET Core. 在没有使用JavaScript的情况下从Select标签中获取值。

相关内容

热门资讯

微扑克辅助挂!德州之星ai辅助... 微扑克辅助挂!德州之星ai辅助,(wePOke)都是存在有挂(详细辅助靠谱教程)1、让任何用户在无需...
透视透视(wepoke确实有挂... 透视透视(wepoke确实有挂)德扑之星隐藏功能在哪(详细辅助教你攻略)好像真的有挂1、构建自己的微...
德州之星辅助挂!约局吧是正规的... 相信很多朋友都在电脑上玩过德州之星辅助挂吧,但是很多朋友都在抱怨用电脑玩起来不方便。为此小编给大家带...
透视线上(智星德州菠萝开挂)德... 透视线上(智星德州菠萝开挂)德扑之星记分牌有什么用(详细辅助透明挂教程)原来有挂1、任何德州ai辅助...
微扑克辅助器ios!wpk透视... 微扑克辅助器ios!wpk透视,(wEPOKE)原来有挂(详细透视透明教程);(需添加指定Q群106...
透视科技(德州之星辅助)微扑克... 1、透视科技(德州之星辅助)微扑克算正规平台吗(详细辅助玩家教程)一直是有挂2、进入游戏-大厅左侧-...
wpk有透视辅助!德扑统计软件... wpk有透视辅助!德扑统计软件,(wepOke)先前有挂(详细透视AI教程);实战中需综合运用上述技...
透视辅助(wepoke一定有挂... 1、透视辅助(wepoke一定有挂)德州wpk有外挂吗(详细辅助2025新版教程)确实真的有挂;该软...
WPK透视辅助!微扑克辅助是真... 1、WPK透视辅助!微扑克辅助是真的吗,(智星德州)确实是有挂(详细辅助攻略教程);详细教程。2、W...
透视ai代打(wepoke计算... 透视ai代打(wepoke计算辅助)云扑克有没有辅助软件(详细辅助微扑克教程)原生有挂,您好,这款游...