如何使用 SPA 在 ASP.NET webapi 中处理密码重置令牌流答案

【问题标题】：How to handle password reset token flow in ASP.NET webapi with SPA如何使用 SPA 在 ASP.NET webapi 中处理密码重置令牌流
【发布时间】：2017-10-01 20:10:13
【问题描述】：

我有一个 ASP.NET webapi2 API。不是 .NET 核心。然后我有一个 React SPA。我正在使用身份和 Oauth2。

我正在实施身份验证系统，密码重置流程让我有点难过。 API 将生成一个通过电子邮件发送给客户端的令牌。然后客户端点击链接导航到某个地方。

链接导航到客户端javascript应用程序然后从令牌中获取参数并将它们提交给API是有意义的。问题在于 API 必须知道客户端 url 才能生成链接。我不希望 API 知道有关客户端应用程序所在位置的任何信息，因为这看起来像是愚蠢的耦合。

另一个选项是密码重置链接直接导航到 API，然后将用户重定向到客户端应用程序。这有同样的问题，API 需要知道客户端在哪里，它也有这个讨厌的重定向黑客。

是否有这方面的资源或关于它应该如何工作的建议？

谢谢

【问题讨论】：

虽然文档适用于 IdentityServer4 (.net core)，但它也适用于 identityserver3。我认为这可能有助于您了解回调 url 的流程和需求：identityserver4.readthedocs.io/en/release

标签： asp.net asp.net-web-api asp.net-web-api2 asp.net-identity asp.net-spa

【解决方案1】：

我相信您正在寻找的是身份提供者的“登录”门户。密码重置流程是身份提供者的一部分，而不是您的主应用程序。因此，当您的用户单击他们的密码重置时，它会将他们发送到身份提供者密码重置页面（此重置密码链接可能根本不应该存在于您的主应用程序中）。重置后，用户将登录并使用授权令牌重定向到您的应用程序，您将使用该授权令牌交换访问令牌。必须为每个想要使用您的身份提供者的应用程序配置重定向。

【讨论】：

这是有道理的，但在我的应用程序中，身份提供者只是应用程序。所以我没有使用第三方。我希望能够让用户留在我的 SPA 中而不会被重定向，但我开始认为所有身份信息只需要在单独的 MVC 应用程序中即可。我找不到在没有遇到问题的情况下保留在 SPA 中的示例。

【解决方案2】：

WebAPI 没有在 AccountController 中公开所需的方法。

我使用我添加到 AccountController 的这两种方法

[Route("ForgotPassword")]
public async Task<IHttpActionResult> ForgotPassword(ForgotPasswordViewModel model)
{
    if (!ModelState.IsValid)
    {
        return BadRequest(ModelState);
    }

    var user = await UserManager.FindByNameAsync(model.UserName) ?? await UserManager.FindByEmailAsync(model.UserName);

    if (user == null)
    {
        return Ok("Ok");
    }


    if (user.Email == null)
    {
        throw new InvalidOperationException("Cannot send email. Email address not configured.");
    }

    var token = await UserManager.GeneratePasswordResetTokenAsync(user.Id);

#if DEBUG
    System.Diagnostics.Process.Start(
        string.Format(
            "http://localhost:4444/#/forgot-password-reset/{0}/{1}",
            HttpUtility.UrlEncode(user.UserName),
            HttpUtility.UrlEncode(token)
        )
    );
#endif

    SendMailForgotPassword(user, token);

    return Ok("Ok");
}

[Route("ForgotPasswordReset")]
public async Task<IHttpActionResult> ForgotPasswordReset(ForgotPasswordResetViewModel model)
{
    if (!ModelState.IsValid)
    {
        return BadRequest(ModelState);
    }

    var user = await UserManager.FindByNameAsync(model.UserName) ?? await UserManager.FindByEmailAsync(model.UserName);
    if (user == null)
    {
        return Ok("Ok");
    }

    var result = await UserManager.ResetPasswordAsync(user.Id, model.Token, model.NewPassword);
    if (result.Succeeded)
    {
        return Ok("Ok");
    }

    throw new InvalidOperationException(string.Join("\r\n", result.Errors));
}

【讨论】：