Сравните маркер Oauth с ранее сохраненным токеном

Question

Я работаю над проектом, в котором я пытаюсь добавить дополнительный уровень безопасности. Идея заключается в том, что когда токен Oauth генерируется, мы сравниваем его с одним, сохраненным в нашей БД, если они не совпадают, тогда пользователю отказывают. Моя проблема в том, что я пытаюсь выполнить сравнение во время потока аутентификации прямо перед тем, как токен будет передан конечному пользователю из конечной точки/токена, но я не могу найти, где получить доступ к сгенерированному токену во время запроса на аутентификацию. Я только см. его, когда запрос наконец предоставлен. Просто нужно руководство, в котором находится свойство access_token.

Answer 1

Я не могу ответить полностью, не зная, какую библиотеку вы используете. Если это IdentityServer3, я не знаю, как это сделать, но вам не следует в любом случае по нескольким причинам.

• Токены не должны выдаваться до тех пор, пока пользователь не будет аутентифицирован. Может быть, я что-то упустил, но не могу придумать обстоятельства, когда вам нужно будет отклонить пользователя на этом этапе.
• Каждый токен должен быть уникальным, поэтому вы не должны ожидать генерации токена, который уже существует.

Я также хочу отметить, что если вы используете самодельные токены, их не нужно сохранять, поскольку они могут быть проверены с использованием только открытого ключа сертификата.

Если вы можете уточнить, что вы подразумеваете под дополнительной безопасностью, я мог бы придумать что-то более полезное, но, надеюсь, это все равно полезно.