Как разлогинить пользователя? в Asp.Net Core

@anuartemirbolat · Регистрация: 11.05.2018

Студворк — интернет-сервис помощи студентам

Я с помощю claims генерю jwt-токен для пользователя который правильно авторизовался, на калиенте каждый раз в header запросе передаю этот токен. В один момент администратор заблокировал этого пользователя за плохое поведения, как теперь разлогинить этого пользователя ?

@carrotik · 13.11.2019, 11:52

.. как я понимаю, все не так просто, но варианты гуглятся, например:

Canceling JWT tokens in .NET Core

@Usaga · 13.11.2019, 12:23

anuartemirbolat, такие вещи делаются введением нового понятия "сессия".

Заводится новая сущность и новая таблица "Сессия". В сессии есть ссылка на таблицу пользователей. При авторизации, пользователю выдаётся новая сессия ID которой пихается в payload токена. Токен считается валидным, если валидна сессия в базе. У пользователя может быть N (но не более!) одновременных сессий.

Отзыв сессии в базе - отзыв авторизации пользователя со всех устройств и браузеров.

@anuartemirbolat · 14.11.2019, 08:52 **[ТС]**

Usaga, при каждом запросе, придется стучаться в бд?

@Usaga · 14.11.2019, 09:03

anuartemirbolat, зачем? Кешировать. При принудительном "разлогине" сессии пользователя из кеша выкидываются.

@lvlkoo · 14.11.2019, 12:39

Несколько вариантов на выбор
1. Самый простой, деавторизовать всех, сменив ключ или любой параметр валидации токена, ишуера, аудиенцию итд..
Плюсы: Быстро, легко
Минусы: Костыль
2. Уменьшаем время жизни токена, добавляем Флаг в бд, который проверяет возможность авторизации юзера, к примеру "IsBanned"
Плюсы: Получаем относительно слабый контроль авторизации (зависящий от времмени жизни токена)
Минусы: Время жизни, меньше, авторизация чаще, после "бана" юзера может остаться определенный валидный период.
3. Уменьшаем время жизни токена, вводим понятие рефреш токена, который сохраняем в бд - при необходимости этот рефреш-токен отзывается, лешая возможности обновить токен авторизации.
Плюсы: Получаем относительно слабый контроль авторизации (зависящий от времмени жизни токена), механизм для обновления токена авторизации
Минусы: после "бана" юзера может остаться определенный валидный период.
4. Проверка доступа пользователя в каждом запросе, любой флаг, или сессия как писали выше
Плюсы: Максимальный контроль авторизации
Минусы: Лишний запрос к бд при каждом обращении в авторизованую область, если не использовать кеширование
5. Заводим отдельный список отозванных токеннов\забаненых юзеров, при необходимости список можно кешировать в памяти
Плюсы: Максимальный контроль авторизации
Минусы: Лишний запрос бд при каждом обращении в авторизованую область, если не использовать кеширование. (данных при этом меньше, чем в предыдущем способе)

@Usaga · 14.11.2019, 15:04

Сообщение от lvlkoo

5. Заводим отдельный список отозванных токеннов\забаненых юзеров, при необходимости список можно кешировать в памяти

Отдельно взятое это решение очень такое себе. Потому, что неизвестно как долго нужно держать "ориентировку" в памяти. А вот вкупе с №3 вполне себе проканает.

@yurickas · 14.11.2019, 16:47

6. Создаем отдельные записи точек входа, сохраняем ip-адрес, имя компьютера, тип операционной системы, полученную информацию сохранить и добить в токен. Валидацию проводить со сверкой точки входа. Нет в списке - гоу на логин. Надо разлогинить одно устройство - удалить из списка. Надо разлогинить на всех устройствах - очистить список.

Плюс: круто, че. Прям как у Гугла.
Минус: надо бы сервак помощнее, дискового пространства побольше, и тогда не будет минусов, а будет примерно как-то так

@yurickas · 15.11.2019, 07:39

Сообщение от lvlkoo

4. Проверка доступа пользователя в каждом запросе, любой флаг, или сессия как писали выше
Плюсы: Максимальный контроль авторизации
Минусы: Лишний запрос к бд при каждом обращении в авторизованую область, если не использовать кеширование

Частный случай реализации такой логики - хеширование токена. При логине пользователя в базу пишем хеш его токена. На конвейере запросов в конечном ендпоинте ищем атрибут авторизации и лезем в базу за хешем. Если хеш токена в запросе совпадает с хешем токена в базе - пропускаем запрос дальше по конвейеру.

Плюс: хеш - 20 байт информации на пользователя, для быстроты доставку хеша можно сделать хранимой процедурой в самой базе. Если человек залогинился на одном устройстве - он автоматически разлогинился на втором. В базе токен, как и пароль не хранятся, что исключает воровство личных данных при получении прямого доступа к базе.

P.S. Вот я лично не считаю минусом лишние запросы к базе. От них все-равно никуда не денешься, а частенько сложные запросы выполняются быстрее, если их раздробить на мелкие и вместо одного большого с кучей лефтджоинов отправить 3-4 мелких, а потом все смержить в памяти.

@Usaga · 16.11.2019, 13:44

Сообщение от yurickas

6. Создаем отдельные записи точек входа, сохраняем ip-адрес, имя компьютера, тип операционной системы, полученную информацию сохранить и добить в токен.

Нафига?

@yurickas · 16.11.2019, 13:54

Ну, пацаны с картинки заморочились же. И потом, я привел примерный план действий литературного толка, а не инструкцию к применению, что-то может лишнее, чего-то может не хватать.

@Usaga · 16.11.2019, 14:00

yurickas, кто вам сказал, что пацаны с картины всё это в куки засунули?)

@yurickas · 16.11.2019, 14:13

Сообщение от Usaga

кто вам сказал, что пацаны с картины всё это в куки засунули?)

Не сильно разбирался что и куда засунули, но то что jwt токен лежит в куках - точно. А в токен можно что угодно запихать

@Usaga · 16.11.2019, 14:16

Сообщение от yurickas

А в токен можно что угодно запихать

Ага. К примеру ID какой-то записи, в которой можно хоть Войну и Мир затолкать. Не находите, что это проще и лучше, чем пихать всякое дерьмо в сам токен?

@yurickas · 16.11.2019, 14:40

Ага. Ну, тут еще есть масса вариантов, но по факту главное общее описание, а не частная реализация. Человек же совет спрашивал.

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@anuartemirbolat 19 / 17 / 3 Регистрация: 11.05.2018 Сообщений: 166

	Как разлогинить пользователя? в Asp.Net Core 13.11.2019, 09:26. Показов 4993. Ответов 14 Метки asp.net core (Все метки) Я с помощю claims генерю jwt-токен для пользователя который правильно авторизовался, на калиенте каждый раз в header запросе передаю этот токен. В один момент администратор заблокировал этого пользователя за плохое поведения, как теперь разлогинить этого пользователя ? 0

@carrotik 800 / 583 / 207 Регистрация: 21.02.2019 Сообщений: 2,095
	13.11.2019, 11:52
	.. как я понимаю, все не так просто, но варианты гуглятся, например: Canceling JWT tokens in .NET Core 0

@Usaga 14086 / 9303 / 1348 Регистрация: 21.01.2016 Сообщений: 34,926
	13.11.2019, 12:23
	anuartemirbolat, такие вещи делаются введением нового понятия "сессия". Заводится новая сущность и новая таблица "Сессия". В сессии есть ссылка на таблицу пользователей. При авторизации, пользователю выдаётся новая сессия ID которой пихается в payload токена. Токен считается валидным, если валидна сессия в базе. У пользователя может быть N (но не более!) одновременных сессий. Отзыв сессии в базе - отзыв авторизации пользователя со всех устройств и браузеров. 0

@anuartemirbolat 19 / 17 / 3 Регистрация: 11.05.2018 Сообщений: 166
	14.11.2019, 08:52 [ТС]
	Usaga, при каждом запросе, придется стучаться в бд? 0

@Usaga 14086 / 9303 / 1348 Регистрация: 21.01.2016 Сообщений: 34,926
	14.11.2019, 09:03
	anuartemirbolat, зачем? Кешировать. При принудительном "разлогине" сессии пользователя из кеша выкидываются. 0

@lvlkoo .NET C#,ASP.NET MVC 594 / 507 / 224 Регистрация: 16.10.2010 Сообщений: 1,902
	14.11.2019, 12:39
	Несколько вариантов на выбор 1. Самый простой, деавторизовать всех, сменив ключ или любой параметр валидации токена, ишуера, аудиенцию итд.. Плюсы: Быстро, легко Минусы: Костыль 2. Уменьшаем время жизни токена, добавляем Флаг в бд, который проверяет возможность авторизации юзера, к примеру "IsBanned" Плюсы: Получаем относительно слабый контроль авторизации (зависящий от времмени жизни токена) Минусы: Время жизни, меньше, авторизация чаще, после "бана" юзера может остаться определенный валидный период. 3. Уменьшаем время жизни токена, вводим понятие рефреш токена, который сохраняем в бд - при необходимости этот рефреш-токен отзывается, лешая возможности обновить токен авторизации. Плюсы: Получаем относительно слабый контроль авторизации (зависящий от времмени жизни токена), механизм для обновления токена авторизации Минусы: после "бана" юзера может остаться определенный валидный период. 4. Проверка доступа пользователя в каждом запросе, любой флаг, или сессия как писали выше Плюсы: Максимальный контроль авторизации Минусы: Лишний запрос к бд при каждом обращении в авторизованую область, если не использовать кеширование 5. Заводим отдельный список отозванных токеннов\забаненых юзеров, при необходимости список можно кешировать в памяти Плюсы: Максимальный контроль авторизации Минусы: Лишний запрос бд при каждом обращении в авторизованую область, если не использовать кеширование. (данных при этом меньше, чем в предыдущем способе) 0

@yurickas 163 / 138 / 35 Регистрация: 25.11.2015 Сообщений: 910
	14.11.2019, 16:47
	6. Создаем отдельные записи точек входа, сохраняем ip-адрес, имя компьютера, тип операционной системы, полученную информацию сохранить и добить в токен. Валидацию проводить со сверкой точки входа. Нет в списке - гоу на логин. Надо разлогинить одно устройство - удалить из списка. Надо разлогинить на всех устройствах - очистить список. Плюс: круто, че. Прям как у Гугла. Минус: надо бы сервак помощнее, дискового пространства побольше, и тогда не будет минусов, а будет примерно как-то так Миниатюры 0

@yurickas 163 / 138 / 35 Регистрация: 25.11.2015 Сообщений: 910
	16.11.2019, 13:54
	Ну, пацаны с картинки заморочились же. И потом, я привел примерный план действий литературного толка, а не инструкцию к применению, что-то может лишнее, чего-то может не хватать. 0

@Usaga 14086 / 9303 / 1348 Регистрация: 21.01.2016 Сообщений: 34,926
	16.11.2019, 14:00
	yurickas, кто вам сказал, что пацаны с картины всё это в куки засунули?) 0

@yurickas 163 / 138 / 35 Регистрация: 25.11.2015 Сообщений: 910
	16.11.2019, 14:40
	Ага. Ну, тут еще есть масса вариантов, но по факту главное общее описание, а не частная реализация. Человек же совет спрашивал. 0