Идентификационный сервер 4 Cookie Auth против Silent Renew

Question

tldr: question: Что такое предложенный способ аутентификации cookie или автоматического обновления и почему?

У меня есть приложение реагирования с ядром .net и сервером идентификации 4 в качестве аутентификации.

В основном у меня есть два приложения

1. сервер идентификации (например, ядро, идентификация asp, собственная база данных)
2. веб-приложение (реагирует + ядро ​​.net, собственная база данных)

А теперь мне нужно сделать аутентификацию. Я использовал cookie-аутентификацию с длительным сроком действия (180 дней), поэтому пользователю не нужно каждый раз входить в систему. И это работает хорошо. Единственная проблема в том, что я не могу выйти из системы, когда захочу. Я имею в виду, что если пользователь меняет пароль (потому что он меняет его на сервере идентификации, а не в веб-приложении), я должен вывести его из веб-приложения. Но я не могу, так как у него все еще есть действующее печенье.

А сейчас я читаю кое-что о немом методе обновления. Я думаю, что тихое обновление решит эту проблему. Но разве это не перегружает сервер? Или как правильно выполнять аутентификацию в приложении реакции и почему?

Большое спасибо

Answer 1

Для идентификации AspNet, вы захотите взглянуть на SecurityStamp. Это столбец в пользовательской таблице, который хранится в зашифрованном файле cookie и регулярно проверяется на сервере. Он изменяется, когда пользователь обновляет свой пароль, и вы также можете инициировать изменение вручную (например, имея ссылку «Выйти везде»), которая фактически аннулирует все существующие файлы cookie.

Вот отличное объяснение того, что есть и как переопределить интервал проверки при необходимости: Что такое интерфейс IUserSecurityStampStore Identity ASP.NET интерфейс?

Для первоначального тестирования вы, вероятно, захотите установить этот интервал на очень низкое время, чтобы увидеть факт вступления изменений в силу.