azure移动服务active directory身份验证X-ZUMO-AUTH令牌在注销后在邮递员中有效
本文关键字:注销 邮递员 有效 令牌 X-ZUMO-AUTH 服务 移动 active directory 身份验证 azure | 更新日期: 2023-09-27 18:30:09
我已经为身份验证设置了Azure移动服务和AD。
注销和登录通过手机应用程序完美工作。
AD应用程序回复url为https://test.azure-mobile.net/signin-aad
client = new MobileServiceClient (applicationURL, applicationKey);
var authResult = await client.LoginAsync(this, MobileServiceAuthenticationProvider.WindowsAzureActiveDirectory);
var data = await client.InvokeApiAsync("testAPI", HttpMethod.Get, null); //Works
client.Logout(); // LOGOUT
var data = await client.InvokeApiAsync("testAPI", HttpMethod.Get, null); //Unauthorized Error at mobile side. Request not going to API
这项工作非常完美。
但若我在LOGOUT之后从authResult复制令牌,我可以使用相同的令牌从poster调用API。
标题:X-ZUMO-AUTH→代币
如何验证令牌?Azure移动服务端是否需要任何设置来验证和阻止此操作?
当您在客户端上注销时,auth令牌会从客户端中删除,但不会与服务器通信以表明此令牌现在无效。因此,如果令牌存储在其他地方并重复使用,它在过期之前仍然有效。
我不确定有什么好方法可以做到这一点。你可以重置网站的主密钥,但这会使所有其他代币失效,所以这不是一个可行的选择。您可以在服务器上存储一个无效令牌列表,并对每个请求进行检查,但这会对每个请求添加一个查找。
这是另一个有类似答案的问题和其他几个链接:注销/使JWT 无效