0

この質問をさらに絞り込む方法がわかりません: Auth0 と WebApi 2 を使用しています。現在ログインしているすべてのユーザーのリストを表示する必要があります。より具体的には、Auth0 がトークンを発行し、このトークンが送信されます。 WebApi へのすべてのリクエスト。特定のトークンを持つコントローラーにリクエストが行われるたびに、トークンと関連するIDをデータベースに書き込む必要があると思いますか? 私がここで正しい道を進んでいるかどうか、または何を読むべきかについて、誰かが一般的な考えを教えてくれますか?

Auth0 ドキュメントはほとんど役に立ちません。これは珍しい要件のように思われるからです。と同じ: http://www.asp.net/web-api/overview/security

私はクライアントサイドについて心配していません。サーバーに行く方法が必要なだけです。

編集:コメントでこの質問に別の部分を追加しました:すぐに有効になるトークンを取り消す方法も知りたいです。これを理解するには、バックエンドがフロントエンドから送信されたトークンを検証する方法と、Auth0 のサーバーがこのために呼び出されるかどうかを正確に理解する必要があると思います。

4

1 に答える 1

4

私は Auth0 の開発者アドボケイトです。私があなたを助けることができるかどうか見てみましょう:)。

JWT をチェックするだけの API を持つという全体的な考え方は、ステートレス API を持つことです。「ログイン」するという概念は、実際には存在しません。すべての JWT はある時点で有効期限が切れます。API を呼び出すときにそれがチェックされます。

したがって、私が提案するのは次のとおりです。

API 呼び出しを取得するたびに、JWT をメモリのどこかに保存します。次に、ログインしているユーザーを取得する必要があります。それらのリストにあるすべての JWT を取得し、有効期限が切れていないものを「ログイン済み」として表示します。また、リストを 5 分ごとに処理し、JWT を期限切れにする cron が必要です。実際には「ログイン」したユーザーではありませんが、十分に近いと思います。

それはうまくいくでしょうか?

ありがとう

于 2015-05-12T21:19:58.043 に答える