【发布时间】:2017-03-07 02:58:53
【问题描述】:
我正在使用一个 api 服务器来恢复来自移动应用程序的请求。我正在使用JWT 和ASP.Net MVC Web API 2。在此管理员中,移动应用程序用户可以访问各个部门。我在登录时将这些 DeptId 设置为 Claims。在来自应用程序的每个授权请求中,我在自定义操作过滤器属性中读取声明以将请求 URL 中的 deptId 与声明相匹配。这一切都很好。
现在我的问题是,当管理员撤销应用用户对任何特定部门的访问权限时,我应该如何使该用户的 access_token 过期,以便在登录请求调用时,我可以设置新的 Claims。否则,由于管理员从服务器中删除了访问权限,但用户的 Claims 中仍然存在 deptId,因此用户仍然可以访问该部门。
一种方法是在每个请求上检查数据库以进行访问,但这会增加服务器的开销,也会增加响应时间。所以我不想走这条路。
我没有在网上找到任何关于如何使JWT 中的令牌过期的内容。有人可以帮忙吗?
【问题讨论】:
标签: asp.net-web-api2 jwt