Мы используем идентификатор ASP.NET в проекте Web Api с SimpleAuthorizationServerProvider
, мы используем OAuth-tokens для авторизации каждого запроса, исходящего от клиента. (У токенов есть и срок действия, мы не используем токены обновления.)
Когда пользователи меняют свой пароль, я хотел бы аннулировать маркеры, которые они могут иметь, возможно, на других устройствах. Есть ли способ явно сделать это? Я экспериментировал и видел, что существующие токены работают без каких-либо проблем после смены пароля, которые следует предотвратить.
Я подумал о том, чтобы положить хэш хэша или часть хэша в токен OAuth в качестве претензии, и проверить это в методе OnAuthorization
нашего производного фильтра AuthorizeAttribute.
Будет ли это правильным способом решения проблемы?