当遇到用户被删除或者用户在另一个设备上登陆等场景时需要将JWT提前撤回,但是JWT是保存在客户端,无法在服务器中进行删除。
解决办法:是在用户表中增加一列JWTVersion,用来存储最后一次发放出去的令牌版本号,每次登陆、发放令牌的时候都让JWTVersion自增,当服务器收到客户端提交的JWT后,将客户端的JWTVersion和服务器的进行比较,如果客户端的值小于服务器中的值则过期
实现步骤:
1:为实体类User增加一个long类型的属性JWTVersion
2:修改产生JWT的代码,实现JWTVersion自增
//添加这一行信息
user.JWTVersion++;
await userManager.UpdateAsync(user);//更新数据库
var claims = new List<Claim>();
claims.Add(new Claim(ClaimTypes.NameIdentifier, user.Id.ToString()));
claims.Add(new Claim(ClaimTypes.Name, user.UserName));
//添加这一行信息
claims.Add(new Claim(ClaimTypes.Version, user.JWTVersion.ToString()));//增加该信息
3:编写筛选器(操作筛选器),统一实现对所有控制器操作方法中JWT的检查工作
public class JWTValidationFilter : IAsyncActionFilter
{
private IMemoryCache memCache;
private Use