当客户端在IdentityServer3中请求新的引用令牌时,如何撤销旧的引用令牌?
在IdentityServer3中,当客户端请求新的引用令牌时,可以通过以下步骤来撤销旧的引用令牌:
- 配置IdentityServer3服务器:在IdentityServer3服务器的配置文件中,需要启用TokenRevocationEndpoint以支持令牌撤销功能。可以通过添加以下代码来实现:
app.UseIdentityServerBearerTokenAuthentication(new IdentityServerBearerTokenAuthenticationOptions
{
Authority = "https://your-identity-server-url",
RequiredScopes = new[] { "api" },
EnableValidationResultCache = true,
ValidationResultCacheDuration = TimeSpan.FromMinutes(10),
TokenProvider = new TokenProvider
{
OnRevoke = async token =>
{
// 撤销旧的引用令牌的逻辑
}
}
});- 实现撤销令牌的逻辑:在TokenProvider的OnRevoke回调函数中,可以编写逻辑来撤销旧的引用令牌。具体的实现方式取决于你的业务需求和数据存储方式。以下是一个示例:
public class TokenProvider
{
public Func<Token, Task> OnRevoke { get; set; }
public async Task RevokeToken(Token token)
{
await OnRevoke?.Invoke(token);
}
}- 调用令牌撤销接口:在客户端请求新的引用令牌之前,需要调用令牌撤销接口来撤销旧的引用令牌。可以通过发送HTTP请求到TokenRevocationEndpoint来实现。以下是一个示例:
public async Task RevokeToken(string token)
{
using (var client = new HttpClient())
{
var revokeEndpoint = "https://your-identity-server-url/revoke";
var content = new FormUrlEncodedContent(new[]
{
new KeyValuePair<string, string>("token", token)
});
var response = await client.PostAsync(revokeEndpoint, content);
if (response.IsSuccessStatusCode)
{
// 令牌撤销成功
}
else
{
// 令牌撤销失败
}
}
}以上是在IdentityServer3中撤销旧的引用令牌的一般步骤。具体的实现方式可能会因为业务需求和技术栈的不同而有所差异。在腾讯云的产品中,可以使用腾讯云的API网关(API Gateway)来实现令牌撤销功能。API网关提供了灵活的配置选项和高可用性,可以满足各种场景的需求。您可以参考腾讯云API网关的文档(https://cloud.tencent.com/document/product/628)了解更多信息。
相关·内容
我有一个场景,客户端调用端点来获取引用令牌(注意:这是grant_type = client_credentials),如果client_id、client_secret和scope匹配,那么IdentityServer将返回有效的引用令牌。假设此引用令牌的有效期为1天。
现在,在有时(比如30分钟左右)之后,客户端再次请求新的引用令牌,并且Id
浏览 11提问于2017-08-19得票数 0
1回答
我们目前同时使用引用令牌和刷新令牌。因为我们有能力在任何时候撤销引用令牌,所以我们甚至有必要使用刷新令牌吗?我们就不能为引用令牌设定一个很长的到期时间吗?这种方法对安全是否有任何影响?
浏览 0提问于2019-08-25得票数 2
回答已采纳
保存令牌对象时,如果声明在保存令牌时没有链接到令牌,则在客户端调用资源服务器时,不可避免地会导致未经授权的请求。IdentityServer3中的内存中的解决方案没有这个问题,因为您的对象停留在内存中,因此令牌对象中的声明列表将“附加”到令牌</em
浏览 0提问于2017-01-21得票数 0
回答已采纳
我尝试过使用客户端设置来无限制地增加令牌的生命周期(一个很大的数字),但不起作用。你做过这个了吗? new Client ClientId = "uilocal",,我在登录时启用了IsPersistent:
Authenticat
浏览 0提问于2018-04-14得票数 1
1回答
我已经在我们的WebAPI应用程序中实现了基于OAuth令牌的身份验证,并根据数据库验证用户名和密码。但我们不会将访问令牌和刷新令牌同步到任何类型的数据库。下面是生成令牌的代码 /// Grant resource owner credentials overload method.
浏览 1提问于2019-09-22得票数 0
我正在使用laravel圣地为我的移动应用程序的API认证。目前,在personal_access_tokens圣殿生成的表中,没有user_id引用。使用当前表时,想象一下如果用户不受限制地登录和退出。我们将在表中创建N个新令牌。
是否有一种默认的方法来限制每个用户的令牌总
浏览 0提问于2021-07-15得票数 7
回答已采纳
我用IdentityServer4创建一个令牌,我复制这个,我只修改它public static IEnumerable<Client> GetClientsAccessTokenLifetime = 10, };我的令牌应该在10秒内过期,每10秒我就有一个刷新令牌,但是我不知道如何测试它。我
浏览 2提问于2019-12-02得票数 1
我将我的IdSvr客户端配置为返回引用令牌,使其可撤销。我还使用IdentityServer.EntityFramework库将生成的引用令牌存储在令牌表中。令牌吊销终结点需要令牌来吊销。作为管理员,我想调用撤销,但我不知道访问令牌,因为密钥是散列存储在数据库中的。管理员如何
浏览 5提问于2016-07-14得票数 0
回答已采纳
1回答
是否需要在数据库中持久化刷新标记
、、、、
我正在使用资源所有者密码流,我成功地获得了访问令牌和刷新令牌,并且我没有在数据库中保留任何令牌,一切都在本地正常工作。但是当我在生产环境中部署identity server时,刷新令牌并不能像预期的那样工作。我设置了访问令牌过期时间20分钟和刷新令牌过期时间7天。如果我在20分钟内或访问令牌到期前刷新访问令牌,则刷新令牌刷新访问令牌并按预期工作,但在访问令
浏览 3提问于2018-10-27得票数 0
我正在使用JWT中间件+ ASP.NET标识在我的ASP.NET核心WebAPI项目中建立一个简单的用户/密码登录。那么,有什么方法可以撤销生成的令牌呢?
浏览 0提问于2018-11-13得票数 1
回答已采纳
1回答
我目前正在构建一个使用asp.net和microsoft库发布jwt令牌和刷新令牌的安全服务。我的问题是,我有来自存储在db中的用户的刷新令牌:
每当用户请求新的访问令牌时,是否应该使用当前的刷新令牌替换刷新令牌,或者只是标记已被撤销的刷新令牌或某种标志?<
浏览 2提问于2021-07-16得票数 2
这就是Microsoft AzureAD文档中所说的:()
使用机密客户端刷新令牌的令牌生存期是可以安全地存储客户端密码(秘密)的应用程序。它们可以证明请求来自安全客户端应用程序,而不是来自恶意参与者。例如,web应用程序是一个机密客户端,因为它可以将客户端机密存储在web服务器上。它没有暴露出来。由于这些流更安全,向这些流发出的刷新令牌的默认
浏览 0提问于2019-01-29得票数 2
回答已采纳
我已经开始面临一个问题,在从我们的WSO2实例请求新的访问令牌后不久,我无法再发出API请求。应用程序)中,我可以看到以下内容:我知道错误是什么,我只是不明白为什么在我刚刚请求了一个新的令牌并尝试将其用于API请求之后就会发生这种情况。我能想到的唯一一件事是,可能由于某种原因,我对API的</
浏览 1提问于2017-07-18得票数 0
1回答
下面的讨论了如何销毁烧瓶令牌,但是这并不能阻止处于攻击中间的人。是否存在使令牌失效,使其在到期前不再处于活动状态?
浏览 1提问于2015-01-08得票数 4
回答已采纳
2回答
而对于刷新令牌呢?3)后者是可配置的吗?我能让它不过期吗?在这种情况下,它应该返回到请求新访问令牌的代码。”
还有:(来自)“刷新令牌没有指定的生命周期。通常,刷新令牌的寿命相对较长。但是,在某些情况下,刷新令牌过期、被<e
浏览 5提问于2016-02-12得票数 3
回答已采纳
3回答
我是JWT实现中的新手,出现了一个问题。
我在php中使用JWT构建了一个用户登录身份验证。在用户登录时,如果用户的凭证是有效的,那么登录API的响应就是作为cookie存储的令牌,而不是有$_SESSION变量,而是通过调用API对令牌进行解码并在web应用程序的每个页面上检索用户数据来获得用户的数据如果用户想更新他的个人详细信息(姓名、电子邮件等),我希望基于
浏览 0提问于2019-10-10得票数 0
回答已采纳
我知道,当用户更改密码时,Office 365刷新令牌将过期,但我看到它们几乎每周对我的客户过期。
在Azure中设置我的OAuth2应用程序时,有什么东西我配置错了吗?
浏览 8提问于2016-04-06得票数 3
回答已采纳
我目前正在研究IdentityServer4的实现。我正在为的客户端运行IdentityServer3,并将大量有效的刷新令牌存储在它们的令牌表中。我可以,他们希望能够在新的IdentityServer4实现中重用这些刷新令牌,这样升级对他们的客户来说将是一种无缝体验(也就是说,他们不需要再次登录)。在对这些主题进行一些测试<e
浏览 0提问于2018-03-26得票数 3
回答已采纳
1回答
基于google drive api的应用程序获得批准后,访问代码的有效期为多长时间?
我是否可以将此代码保存在我的应用程序中并重复使用,以避免需要人工重复授权?
浏览 0提问于2012-10-01得票数 1
回答已采纳
我找不到任何使用refresh_token.的理由当我们能让access_token长寿时..。
为什么我们两者都有?
浏览 4提问于2016-01-27得票数 5
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
