客户端请求api采用access token授权,客户端拿到token后,有效期是24小时。
由于各种原因,例如禁用某用户,想强制已授权的token过期失效,禁止该用户登录,请问该如何实现呢?
谢谢。
由于各种原因,例如禁用某用户,想强制已授权的token过期失效,禁止该用户登录,请问该如何实现呢?
谢谢。
解决方案 »
- 正则 还是正则
- 我现在有个软件产品,怎样能给这个产品加上序列号
- 应朋友要求,现将 WebHtmlEditor 1.5 and 1.6 中用到的 js 混淆器提供给大家使用
- <%# 如何在我的网页中播放背景音乐MP3,...要求在不同的网页中转换的时候,音乐不间断
- html按钮放在datagrid 模板列后 不好使了 帮忙
- 100分求: INSERT记录 问题解决马上给分~~~~~
- 关于aspnet帐号的默认密码
- 请大家看看,谢谢帮助,小子有理了!!!!!
- 菜问存储过程是不是有数据库和程序中两种形式?
- ASP.net用ViewState缓存页面,同时带来了传输量大的幅面影响
- 我的visual studio2015里新建项目为啥没有MVC模板
- easyui datagrid 1.5,怎么样初始化或者清除datagrid向后台传递的参数(sort,order)
2、3分钟?
高手啊!
我已经搞了两三天了,没搞定才上来寻求帮助。
然后,你要解决的问题是阻止用户获取Token,这样用户拿不到新的Token,自然就无法正常访问了。
我的目的就是想让生成新的token的同时,让旧的失效。
判断是否登录的必要条件是什么?
1、如果是用户有Token就算登录,那这个设计太烂了,而且没有什么好的解决办法,只能把过期的Token在服务器上保存为黑名单,
每次用户进入都判断在不在黑名单内。
2、如果Token要在服务器上读取一个数据,存在才算登录,那就简单了,直接删除服务器上的这个Token数据就好了。
所以要判断token是否失效,可以考虑在本地定时同步数据库的token到缓存,然后应用只是简单的跟缓存里token进行判断,如果没有就是失效了
使用方应该在拿到Token后换取Claims来基于ABAC设定访问权限而不是直接使用Token。建议看看OAuth2.0的一些文档再做authorize服务,你哪怕不实现全部标准起码也应当实现一些基本的功能。不然你这发个钥匙就能开门的旅馆还不回收钥匙…………