用户需要在多个设备上登录。每次登录都会使用自己的令牌和刷新令牌创建一个会话。令牌存储在数据库中,然后 api 收到的每个令牌都会根据数据库进行验证。当用户注销时,令牌将从数据库中删除,因此不再有效。
我认为这种情况很常见,但它似乎没有内置到 asp.net core 标识中,这意味着我需要为会话添加自己的表。既然人们说“建立自己的身份框架是愚蠢的”,我想知道,我的做法是错误的,还是它没有内置到 asp.net core 身份中(为什么?)?
因此,在评论中与@Dai 交谈后,问题似乎归结为:基于令牌的应用程序如何实现即时注销?这不是内置的吗?
它没有内置到 Asp.net core Identity 中,因为令牌主要用于无状态身份验证(无数据库)。 here讨论了如何实现基于无状态令牌的注销。
不应使用数据库进行基于令牌的身份验证。