我有一个Identity Server 4的实现,它使用Entity Framework Core进行持久存储,使用ASP.NET Core Identity进行用户管理.由于此IDS将支持公共应用程序,因此我们被要求添加一种完全阻止用户的方法 – 这意味着不允许他们登录并删除他们现有的登录.

经过长时间的研究,我已经确定IDS不支持任何过期访问令牌,因为它不是OpenID Connect的一部分.令我感到奇怪的是,我将客户端切换为使用引用令牌,它们正确存储在PersistedGrants表中,但即使清除该表也不会使将来的请求无效,因为用户仍然对客户端应用程序进行了身份验证,到Identity Server本身.

是否有任何商店/服务可以重新实施以阻止来自给定登录用户的所有访问？

最佳答案 您还必须清除cookie.

但您可能想要研究一种不同的方法.其中IdentityServer用作身份验证服务,授权外包,如PolicyServer.

这样您就可以选择加入授权,使得用户仍然经过身份验证变得不那么重要了.