调用 GenerateChangePhoneNumberTokenAsync() 后身份电子邮件验证不起作用
Posted
技术标签:
【中文标题】调用 GenerateChangePhoneNumberTokenAsync() 后身份电子邮件验证不起作用【英文标题】:Identity email verification not working after GenerateChangePhoneNumberTokenAsync() called 【发布时间】:2019-11-28 11:15:29 【问题描述】:我最近在使用 asp.net 身份验证电子邮件时收到“无效令牌”错误。
我有详细的流程如下:
每当用户注册时,系统都会发送一封电子邮件以验证帐户。
string emailConfirmationToken = await _userManager.GenerateEmailConfirmationTokenAsync(userId);
用户注册后,无需验证邮箱即可添加手机号,系统将验证码发送至手机号。
string phoneNumberVerifyCode = await _userManager.GenerateChangePhoneNumberTokenAsync(loginUserId, model.phone);
问题是如果用户首先验证电话号码然后确认电子邮件显示“令牌无效”错误,如果用户首先验证电子邮件然后“电话号码代码无效”。
你能帮我解决这个问题吗?
提前致谢!
【问题讨论】:
【参考方案1】:在创建用户帐户后立即创建电子邮件和 SMS 消息时,我遇到了类似的问题。如果先验证电话,电子邮件验证将失败。但是,如果先验证电子邮件,则短信验证在我的情况下仍然有效。
我最终做的(从帐户安全的角度来看更有意义)是在验证电话代码之前不发送电子邮件验证。这样,每当有人更改他们的电话号码时,我都会强制重新验证电子邮件,因为这会通知用户更改(如果发生 sim 攻击,他们会收到一封电子邮件)并保持第二种通信方式的验证。
我把E-mail的创建放入短信验证方式中:
protected void Code_Click(object sender, EventArgs e)
if (!ModelState.IsValid)
ModelState.AddModelError("", "Invalid code");
return;
var manager = Context.GetOwinContext().GetUserManager<ApplicationUserManager>();
var signInManager = Context.GetOwinContext().Get<ApplicationSignInManager>();
var result = manager.ChangePhoneNumber(User.Identity.GetUserId(), PhoneNumber.Value, Code.Text);
if (result.Succeeded)
var userInfo = manager.FindById(User.Identity.GetUserId());
if (userInfo != null)
signInManager.SignIn(userInfo, isPersistent: false, rememberBrowser: false);
// force 2FA login with successful phone number
manager.SetTwoFactorEnabled(User.Identity.GetUserId(), true);
// force new cell phone changes to un-confirm & re-verify email for security reasons
userInfo.EmailConfirmed = false;
var EmCode = manager.GenerateEmailConfirmationToken(User.Identity.GetUserId());
var callbackUrl = IdentityHelper.GetUserConfirmationRedirectUrl(EmCode, User.Identity.GetUserId(), Request);
manager.SendEmail(User.Identity.GetUserId(), "Confirm your account", "A phone number has been added to your account. For security reasons, please confirm your email by clicking <a href=\"" + callbackUrl + "\">here</a>.");
Response.Redirect("/Account/Manage?m=AddPhoneNumberSuccess");
ModelState.AddModelError("", "Failed to verify phone");
如果电子邮件验证比 SMS 更重要,但两者都需要,您也可以相反,将 SMS 代码发送放在电子邮件验证方法中。在我的情况下,电话号码比电子邮件更重要,因此它在注册过程中具有优先权。
现在回想起来,我很高兴它没有按我最初计划的方式工作,因为这种方法更简单,用户不太可能忘记做其中一个。这个解决方案会引导他们完成它,而不是用任务轰炸用户。
【讨论】:
以上是关于调用 GenerateChangePhoneNumberTokenAsync() 后身份电子邮件验证不起作用的主要内容,如果未能解决你的问题,请参考以下文章