验证刷新令牌是否属于用户[IdentityServer4]
我有一个web应用程序(SPA),当请求注销时,用户同时传递访问令牌和刷新令牌 注销终结点受到保护,因此被吊销的访问令牌必须与经过身份验证的令牌相匹配 但是,我如何验证被请求撤销的刷新令牌是否是该用户的刷新令牌,或者在某种程度上与该访问令牌存在关系 注意:当撤销访问令牌或刷新令牌时,我会专门撤销请求的内容 最终目标是阻止恶意用户撤销属于其他人的刷新令牌验证刷新令牌是否属于用户[IdentityServer4],identityserver4,Identityserver4,我有一个web应用程序(SPA),当请求注销时,用户同时传递访问令牌和刷新令牌 注销终结点受到保护,因此被吊销的访问令牌必须与经过身份验证的令牌相匹配 但是,我如何验证被请求撤销的刷新令牌是否是该用户的刷新令牌,或者在某种程度上与该访问令牌存在关系 注意:当撤销访问令牌或刷新令牌时,我会专门撤销请求的内容 最终目标是阻止恶意用户撤销属于其他人的刷新令牌 我知道这种可能性很小,但我的问题仍然存在。您可以将注入到注销端点所在的类中,使用IRefreshTokenStore的GetRefreshTok
我知道这种可能性很小,但我的问题仍然存在。您可以将注入到注销端点所在的类中,使用IRefreshTokenStore的GetRefreshTokenAsync检索,然后将刷新令牌中的主题与已验证访问令牌中的主题进行比较。如果恶意用户试图猜测刷新令牌,则该令牌肯定会被撤销。@RuardvanElburg我同意,这就是创建该问题的原因