c# - Microsoft Identity - ロールからユーザーを削除しますが、ユーザーはログアウトするまで引き続きアクセスできます

Question

ApplicationDbContext _context = new ApplicationDbContext();
UserManager<ApplicationUser> _userManager = new UserManager<ApplicationUser>(new UserStore<ApplicationUser>(_context));

次の方法でロールからユーザーを削除します。

userManager.RemoveFromRole("userId", "roleName");

そして、それは私が望むようにほぼ機能します。ただし、現在アプリケーションにログインしているユーザーを削除しても、ログアウトするまで、すべての WebApi 呼び出しを「承認」することができます。私は何を間違っていますか？

編集：

または、特定のユーザーをコードからサインアウトするにはどうすればよいですか?

Answer 1

2つのこと：

• ユーザー/ロールを変更した後、_context.SaveChanges() を呼び出すようにしてください。
• ユーザーのアクティブなセッションの再検証を要求するには、ASP.NETの SecurityStamp 機能を使用します。ASP.NET ID の IUserSecurityStampStore<TUser> インターフェイスとは何ですか?

OAuth クレームを使用している場合、これはセッションを無効にする方法の良い例です: https://timmlotter.com/blog/asp-net-identity-invalidate-all-sessions-on-securitystamp-update/

お役に立てれば！