我正在签发登记令牌 . 这包含用户所属的角色 . 在我的管理控制台中,我可以实时向新角色添加一些用户 . 当发生这种情况时,他们甚至可能已经登录 . 如果他们仍然登录,那么他们正在传递仍然具有旧角色的旧令牌,因此用户未经授权使用我刚才在管理控制台中访问的新区域 .
如果用户只获得一个新令牌(例如注销并重新登录),那么一切正常 .
我在Web API项目中使用OWIN和.NET成员资格提供程序
我如何实时更新?我想到了两种可能性:
-
用户必须注销(我可能会使令牌无效,因此他们必须要求新的令牌)
-
编写自定义代码以在每次发出令牌时检查用户角色,而不管角色令牌中的内容是什么
谢谢