【发布时间】:2016-08-22 22:10:12
【问题描述】:
我们开发了一个基于身份验证的多租户应用程序。每个用户都会获得一个存储在数据库中的令牌会话,以判断用户是否仍处于连接状态(具有过期时间)。我将令牌(以及有关用户公司的其他信息)存储在用户Claim 中。在 Identity 检测到用户仍然连接(或未连接)之后,我需要检查用户令牌在我们的数据库中是否仍然有效(但前提是他已连接),所以我实现了AuthorizationHandler。
public TokenValidHandler(MyDatabaseService service)
{
// No information about the user connection string
}
protected override async void Handle(AuthorizationContext context, TokenValidRequirement requirement)
{
// Check the token in database
}
我像这样注册我的处理程序:
services.AddAuthorization(options =>
{
options.AddPolicy("TokenValid",policy => policy.Requirements.Add(new TokenValidRequirement()));
});
services.AddSingleton<IAuthorizationHandler, TokenValidHandler>();
因为我们有一个多租户应用程序,当用户退出应用程序并重新打开站点时,他的连接字符串丢失了(我们不想持久化数据库字符串),所以我使用存储在@中的信息987654325@ 恢复数据库访问。如果验证过期,Claim 中没有可用的信息,所以我无法访问我的数据库。
如我所见,TokenValidHandler 即使用户未连接也会被实例化,这正常吗?因为在他不是的情况下,并且我想对我的数据库服务使用依赖注入,我不能因为有关用户数据库访问的信息不在这里:身份检测不够快以至于用户身份验证过期。有什么想法吗?
【问题讨论】:
-
我暂时找到了使用 IServiceProvider 的解决方案,所以我将我的数据库服务放入 Handler 方法中,而不是通过依赖注入,不是那么干净的解决方案...
标签: c# asp.net-core asp.net-core-mvc asp.net-core-1.0 asp.net-identity-3