有没有办法撤销另一个用户的访问令牌并结束他们在 Identity Server 4 中的会话？

Posted 2023-03-10

【中文标题】有没有办法撤销另一个用户的访问令牌并结束他们在 Identity Server 4 中的会话？

【英文标题】：Is there a way to revoke another user's access tokens and end their session in Identity Server 4?

【发布时间】：2017-10-17 04:59:58

【问题描述】：

是否有推荐的方法来撤销其他用户在 Identity Server 4 中的访问权限？我正在查看的用例是管理员撤销当前登录用户的系统访问权限。

我已经阅读了Revocation Endpoint 的文档，并且可以看到用户如何使用它来撤销他们自己的访问权限。但是，当管理员不知道特定用户的访问令牌是什么时，如何做到这一点呢？

我想End Session Endpoint 也是如此，管理员如何知道他们的 ID 令牌？

到目前为止，我尝试的是实现IProfileService 并在IsActiveAsync 方法中检查用户的帐户是否有效。在我们的客户数据库中，我可以停用他们的帐户，这具有将他们重定向到登录页面的预期效果。但是令牌和会话仍然“活着”。这是结束会话和撤销访问令牌的好地方吗？

或者将用户令牌持久化到数据库中是一种选择吗？

更新

根据下面@Mashton 的回答，我在身份服务器文档here 中找到了如何实现持久性的示例。

创建其中描述的数据迁移会将令牌持久保存到Key 列中的[dbo].[PersistedGrants]。起初我很困惑，因为它们看起来不像我的参考访问令牌，但经过一番挖掘后，我发现它们存储为 SHA-256 哈希。查看Identity Server's GitHub 中的DefaultGrantStore 实现，哈希键计算如下...

    const string KeySeparator = ":";
    protected string GetHashedKey(string value)
    
        return (value + KeySeparator + _grantType).Sha256();
    

...其中value 是令牌，_grantType 是以下之一...

    public static class PersistedGrantTypes
    
        public const string AuthorizationCode = "authorization_code";
        public const string ReferenceToken = "reference_token";
        public const string RefreshToken = "refresh_token";
        public const string UserConsent = "user_consent";
    

使用持久授权不会给我原始访问令牌，但它确实允许我撤销访问令牌，因为[dbo].[PersistedGrants] 表具有SubjectId。

更新 2 - Identity Server 不断创建令牌

我创建了一个隐式 mvc 客户端，成功登录后，我将在屏幕上转储声明。我从持久授权数据库中删除访问令牌，然后使用 Postman 在 End Session Endpoint 中结束会话（使用声明中的 id 令牌）。当我刷新浏览器时，我希望用户被重定向到登录屏幕但是他们得到一个新的访问令牌和一个新的 id 令牌。 Client.IdentityTokenLifetime 只有 30 秒。

关于我在这里缺少什么的任何想法？

【参考方案1】：

您只能撤销Reference tokens 而不是JWTs，是的，这些需要存储在数据库中。看看IPersistedGrantStore（在我的头顶，所以可能名字弄错了），你会发现结构非常简单。

一旦您将它们存储起来，您显然可以在管理方面做任何您喜欢的事情，例如更改到期时间或直接删除它们。

【讨论】：

谢谢@Mashton。坚持到数据库解决了一半的问题，即删除访问令牌。尽管从技术上讲，可以自动创建新的访问令牌，但我看不到 id 令牌在任何地方都存在。你知道如何删除他们的会话吗？

@GavinSutherland 我认为引用令牌只是发送到受保护资源的唯一标识符，然后资源将引用令牌发送到 STS (idsrv) 以在验证后变为完整令牌参考令牌没有被撤销。所以用户看不到实际的令牌。不过，我不是这些问题的专家。见leastprivilege.com/2015/11/25/…

嗨@Mardoxx。依赖方（例如 mvc 站点）必须将引用令牌发送到 Identity Server 内省端点才能获得用户声明。自包含令牌不需要这样做。这篇文章是关于撤销用户的访问权限，而不是关于获得声明。

那里听起来有些不对劲。我们使用ResourceOwnerPassword 授权，并且来自IdSvr 的访问令牌请求导致在数据库中存储授权，并且Reference token 被返回给客户端。现在，每当客户端尝试使用该引用令牌访问受保护资源时，受保护资源将调用 IdSvr 以验证该引用是否适用于存在、尚未过期、具有适当授权等的令牌。如果我从db 然后使用该引用令牌的所有调用都将返回 401，并且用户将需要请求一个新令牌。

我想我会描述为客户端重新请求访问令牌，而不是 IdSvr 自动创建新令牌。除非您的客户提供凭据，否则 IdSvr 不会创建令牌。我会研究我用来请求令牌的机制，然后从那里开始。是否在某处涉及 cookie/会话？