我正在使用优秀的Thinktecture.IdentityModel库来执行ASP.NET Web API项目中的身份验证/授权,该项目将被移动设备和可能的Web客户端使用。我正在使用基本身份验证来认证移动客户端以访问Web API,并利用Thinktecture.IdentityModel提供的内置SessionToken生成。但是,我对如何撤销添加到ClaimsIdentity声明集合中的声明有一些担忧,然后(我认为)编码为提供给客户端的SessionToken...
以下是我的进展:
遵循IdentityModel示例项目中的示例,我创建了以下类。
移动设备会收集个人的用户名和密码,正确设置认证头并提供凭据给必要的Web端点
在服务器上,我的Membership.ValidatUser会使用用户名/密码进行调用,如果验证成功,则会调用
移动客户端随后会收到一个令牌,可以将其传递到任何后续请求的身份验证标头中。这一切都很好地运作。
现在我想做的是,在ClaimsTransformer中添加一些代码,类似于以下伪代码。
我的希望是尽可能减少从数据库请求给定用户角色或权限列表的次数,并方便在自定义的AuthorizeAttribute中检查这些角色/权限。
然而,当我开始添加此功能时,我想到了一些场景:一个用户已经登录并收到了令牌,但通过系统中其他用户的某些操作,他们的角色已更改或被撤销。初始用户仍将拥有此令牌,其中包含一些过期的角色/权限列表,并且将访问任何内容,直到令牌过期,或者将被授予新的访问权限,但在注销之前实际上不会收到该访问权限。
是否有一种机制可以使以这种方式创建的SessionToken失效?如果我找到了一种知道用户角色/权限已更改的方法,如何无缝修改声明并重新发行SessionToken?
另外,如何完全撤销SessionToken?例如,如果我想“注销”用户,该怎么做?
以下是我的进展:
遵循IdentityModel示例项目中的示例,我创建了以下类。
public static class SecurityConfig
{
public static void ConfigureGlobal(HttpConfiguration globalConfig)
{
globalConfig.MessageHandlers.Add(new AuthenticationHandler(CreateConfiguration()));
}
public static AuthenticationConfiguration CreateConfiguration()
{
var authentication = new AuthenticationConfiguration()
{
ClaimsAuthenticationManager = new MyClaimsTransformer(),
RequireSsl = false, //TODO:TESTING only
EnableSessionToken = true,
SessionToken = new SessionTokenConfiguration()
{
EndpointAddress = "/Authenticate"
}
};
authentication.AddBasicAuthentication(Membership.ValidateUser);
return authentication;
}
}
这个函数是从我的Global.asax类中调用的,代码如下:
SecurityConfig.ConfigureGlobal(GlobalConfiguration.Configuration);
移动设备会收集个人的用户名和密码,正确设置认证头并提供凭据给必要的Web端点
http://myhost/api/Authenticate
。在服务器上,我的Membership.ValidatUser会使用用户名/密码进行调用,如果验证成功,则会调用
MyClaimsTransformer
的Authenticate方法。public class ClaimsTransformer : ClaimsAuthenticationManager
{
public override ClaimsPrincipal Authenticate(string resourceName, ClaimsPrincipal incomingPrincipal)
{
if (!incomingPrincipal.Identity.IsAuthenticated)
{
return base.Authenticate(resourceName, incomingPrincipal);
}
return incomingPrincipal;
}
}
移动客户端随后会收到一个令牌,可以将其传递到任何后续请求的身份验证标头中。这一切都很好地运作。
现在我想做的是,在ClaimsTransformer中添加一些代码,类似于以下伪代码。
var nameClaim = incomingPrincipal.Claims.First(c => c.Type == ClaimTypes.Name);
//Using value in nameClaim lookup roles or permissions for this user.
var someListofRoles = SomeMethodToGetRoles(nameClaim.Value);
//Add user roles to the Claims collection of the ClaimsPrincipal.
foreach(var role in someListOfRoles)
{
incomingPrincipal.Identities.First().AddClaim(new Claim("Role", role.Name));
}
我的希望是尽可能减少从数据库请求给定用户角色或权限列表的次数,并方便在自定义的AuthorizeAttribute中检查这些角色/权限。
然而,当我开始添加此功能时,我想到了一些场景:一个用户已经登录并收到了令牌,但通过系统中其他用户的某些操作,他们的角色已更改或被撤销。初始用户仍将拥有此令牌,其中包含一些过期的角色/权限列表,并且将访问任何内容,直到令牌过期,或者将被授予新的访问权限,但在注销之前实际上不会收到该访问权限。
是否有一种机制可以使以这种方式创建的SessionToken失效?如果我找到了一种知道用户角色/权限已更改的方法,如何无缝修改声明并重新发行SessionToken?
另外,如何完全撤销SessionToken?例如,如果我想“注销”用户,该怎么做?