几分钟后,Web API 持有者令牌超时
本文关键字:API Web 持有者 令牌 超时 分钟 几分钟 | 更新日期: 2023-09-27 18:35:32
我正在使用 asp.net Web api和基于令牌的身份验证。我的令牌选项将成功令牌过期时间设置为 14 天后。
OAuthOptions = new OAuthAuthorizationServerOptions
{
TokenEndpointPath = new PathString("/Token"),
Provider = new SimpleAuthorizationServerProvider(),
AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
// In production mode set AllowInsecureHttp = false
AllowInsecureHttp = true
};
我生成的令牌是这样的。
{
"access_token": "Mg5oQAzt9RLSUezxPYNQ7JRcJqo-uPxfOgOGHKkrJ_q56g0H8x-sjKm1mkjND0VAK3H22nwFlGNk5wfTocCb5mKMvTYwsZAv5sh0SACHdbb_9BGftMuqbFdm6wH0wXF-Sq3noF7hc2FeUUauhDfrBq5jTSou4NO3EBwjc0jj3v-yQzPGMCFxq2Q8C9uhat14rGYteYqj5mX3L5JtwHrobePL2R9lcnagNIMa44GUWQ8DVR2urP4KCrDHJf1G5pIfv94uB85I7sbf0nse7VvhYp058I8voNR9_zD1XC5-AODQJ16F484zxQokX1BWJ3gfgd86zJr2O9iKsA",
"token_type": "bearer",
"expires_in": 1209599,
".issued": "Sat, 20 Feb 2016 13:15:10 GMT",
".expires": "Sat, 05 Mar 2016 13:15:10 GMT"
}
我将此信息保存在 cookie 中并在我的应用程序中使用。但几分钟后,我的访问令牌验证即将过期,并且出现 401 http 错误。
我正在尝试从小提琴手和邮递员那里获取请求,但给出了 401 授权错误。
来自这篇文章:ASP.NET Web API 授权令牌提前过期
看起来每次回收应用程序池时都会重新生成用于加密和解密令牌的计算机密钥,从而导致我们的应用程序无法解密以前加密的令牌。尝试按照帖子中的建议设置固定机器密钥。
旁注:
从应用程序设计的角度来看,我们不应该为访问令牌设置一个大的时间跨度,访问令牌应该是短暂的,并与刷新令牌一起使用: 为什么 OAuth v2 同时具有访问令牌和刷新令牌?
要在 owin 中生成刷新令牌,请向OAuthAuthorizationServerOptions
提供RefreshTokenProvider
:
OAuthOptions = new OAuthAuthorizationServerOptions
{
TokenEndpointPath = new PathString("/Token"),
Provider = new SimpleAuthorizationServerProvider(),
AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
// In production mode set AllowInsecureHttp = false
AllowInsecureHttp = true,
RefreshTokenProvider = //your refresh token provider.
};