Я хочу аннулировать токен носителя в Asp.net-Identity. Я попытался вызвать UpdateSecurityStampAsync(userId), и я вижу, что штамп безопасности моего пользователя обновляется. Но старые жетоны все еще действительны. Делает ли это только недействительной аутентификацию файлов cookie?
Можно ли решить ее другим способом?
Вы можете сделать это, включив SecurityStamp (или его хэш) в токен. Затем вы можете создать свой собственный обработчик OnReceive, который сверяет SecurityStamp для этого пользователя с базой данных.
Недостатком этого является то, что у вас есть доступ к базе данных для КАЖДОГО запроса, поэтому в первую очередь устраняется одно из ключевых преимуществ наличия токена на предъявителя.
По сути, вы объедините обязанности токена носителя и токена обновления в один токен.
Вместо этого использование токенов обновления, которые отправляются гораздо реже, будет гораздо более производительным, на самом деле это не потребует дополнительного кодирования, и это довольно широко известная модель потока безопасности.
Из коробки аннулировать токены нельзя, потому что они генерируются машинным ключом сервера.
