我们在 Web 表单应用程序中使用 Microsoft 的 Identity Framework v2.0。一切都运转良好。我们决定添加电子邮件验证作为新帐户设置过程的一部分。如果我们在同一页面中创建令牌后对其进行验证,那么我们就成功了。但是,如果我们尝试在不同页面中验证令牌,则会失败。过程非常简单:
- 管理员通过提供用户的电子邮件和姓名来创建新帐户。 (我们不支持自助注册)。
- 用户点击电子邮件中收到的链接来验证电子邮件是否已收到。
以下是创建电子邮件验证令牌的代码:
var manager = new UserManager();
var user = new ApplicationUser() { UserName = EmailAddress.Text, Email = EmailAddress.Text, FirstName = FirstName.Text, LastName = LastName.Text };
IdentityResult result = manager.Create(user);
var provider = new DpapiDataProtectionProvider();
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(provider.Create("EmailConfirmation"))
{
TokenLifespan = TimeSpan.FromHours(24)
};
var strToken = manager.GenerateEmailConfirmationToken(user.Id);
//IdentityResult validToken = manager.ConfirmEmail(user.Id, strToken);
strToken = HttpUtility.UrlEncode(strToken.ToString());
注意:如果我们取消注释 //IdentityResult validToken... 开头的行,则成功。
以下是验证电子邮件页面上的代码:
string userid = Request.QueryString["id"].ToString();
string tokenReceived = Request.QueryString["token"].ToString();
//tokenReceived = HttpUtility.UrlDecode(tokenReceived);
ApplicationUser User = new ApplicationUser();
var manager = new UserManager();
User = manager.FindById(userid);
var provider = new DpapiDataProtectionProvider();
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(provider.Create("EmailConfirmation"))
{
TokenLifespan = TimeSpan.FromHours(24)
};
IdentityResult validToken = manager.ConfirmEmail(User.Id, tokenReceived);
validToken 行在此文件中失败。我已验证字符串 User.Id 和 tokenReceived 在两个文件中完全匹配,因此不会发生 URL 损坏。 (这就是为什么我注释掉了 UrlDecode,因为它似乎是由浏览器自动解码的 - 当我尝试解码时,它与编码前的字符串并不 100% 相同)。
所以我确信我们正在调用相同的方法(ConfirmEmail),并且传递的两个参数是完全相同的字符串。我还知道令牌只能验证一次,因此我不会在验证一次后尝试重新使用它们。
任何想法都会受到欢迎。