我在我的MVC应用程序中通过复制VS 2013模板中的代码来实现了ASP.NET身份验证。基本功能可以使用,但是我无法使重置密码功能正常工作。当我显示“忘记密码”页面时,会生成一个包含令牌的电子邮件。该令牌由以下方法返回:
UserManager.GeneratePasswordResetTokenAsync(user.Id)
UserManager.ResetPasswordAsync(user.Id, model.Code, model.Password);
我认为这看起来不错,但结果总是显示“无效令牌”,我不知道原因。
有人知道为什么它不起作用吗?这个令牌到底存储在哪里?我以为它必须在数据库中的AspNetUsers表中...
ASP.NET Identity中由UserManager生成的令牌通常包含"+"字符,当作为查询字符串传递时,URL中的"+"会被转换为""(一个空格)。在你的ResetPassword ActionResult中将""替换为"+",如下所示:
var code = model.Code.Replace(" ", "+");
//And then change the following line
UserManager.ResetPasswordAsync(user.Id, model.Code, model.Password);
//To this one so it uses the code(spaces replaced with "+") instead of model.Code
UserManager.ResetPasswordAsync(user.Id, code, model.Password);
这应该就可以解决问题了。我曾经遇到同样的问题,并在这里找到了答案。
我想补充一点,除了HTML编码/解码之外,最常见的问题是数据库中的用户输入可能缺少安全戳(SecurityStamp)。在ASP.NET身份验证中存在一个错误,其中一个函数在创建令牌时将其设置为null,而另一个验证令牌时检查是否为空字符串。
如果您的SecurityStamp为null或空字符串,则会导致令牌无效的问题。
UPDATE [AspNetUsers] SET [SecurityStamp] = NEWID() WHERE [SecurityStamp] IS NULL来填补空值,然后就正常工作了。 - Jammer对我来说,安全戳(security stamp)没问题。与接受的答案一致,我使用编码方法来编码附带重置链接的代码,使用HttpContext.Current.Server.UrlEncode,就像这样:
string code = await UserManager.GeneratePasswordResetTokenAsync(user.Id);
string callbackUrl = ConfigurationManager.AppSettings["baseurl"] + "/resetpassword?email=" + user.Email + "&code=" + HttpContext.Current.Server.UrlEncode(code);
SecurityStamp发生更改,则该令牌也无效。UserManager.GeneratePasswordResetTokenAsync(user.Id);
UserManager.RemovePasswordAsync(user.Id);
SecurityStamp已经得到了更新,因此令牌现在已经失效。