我正在使用Visual Studio 2013附带的Web Api 2模板,它有一些OWIN中间件来进行用户身份验证等 .
在 OAuthAuthorizationServerOptions
中,我注意到OAuth2服务器设置为分发在14天后到期的令牌
OAuthOptions = new OAuthAuthorizationServerOptions
{
TokenEndpointPath = new PathString("/api/token"),
Provider = new ApplicationOAuthProvider(PublicClientId,UserManagerFactory) ,
AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
AllowInsecureHttp = true
};
这不适合我的最新项目 . 我想发布短暂的bearer_tokens,可以使用 refresh_token
刷新
我做了很多谷歌搜索,找不到任何有用的东西 .
所以这就是我设法得到的 . 我现在已经达到了“WTF我现在”的地步 .
我写了 RefreshTokenProvider
,根据 OAuthAuthorizationServerOptions
类的 RefreshTokenProvider
属性实现了 IAuthenticationTokenProvider
:
public class SimpleRefreshTokenProvider : IAuthenticationTokenProvider
{
private static ConcurrentDictionary<string, AuthenticationTicket> _refreshTokens = new ConcurrentDictionary<string, AuthenticationTicket>();
public async Task CreateAsync(AuthenticationTokenCreateContext context)
{
var guid = Guid.NewGuid().ToString();
_refreshTokens.TryAdd(guid, context.Ticket);
// hash??
context.SetToken(guid);
}
public async Task ReceiveAsync(AuthenticationTokenReceiveContext context)
{
AuthenticationTicket ticket;
if (_refreshTokens.TryRemove(context.Token, out ticket))
{
context.SetTicket(ticket);
}
}
public void Create(AuthenticationTokenCreateContext context)
{
throw new NotImplementedException();
}
public void Receive(AuthenticationTokenReceiveContext context)
{
throw new NotImplementedException();
}
}
// Now in my Startup.Auth.cs
OAuthOptions = new OAuthAuthorizationServerOptions
{
TokenEndpointPath = new PathString("/api/token"),
Provider = new ApplicationOAuthProvider(PublicClientId,UserManagerFactory) ,
AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(2),
AllowInsecureHttp = true,
RefreshTokenProvider = new RefreshTokenProvider() // This is my test
};
所以现在有人请求 bearer_token
我现在正在发送 refresh_token
,这很棒 .
那么现在我如何使用这个refresh_token来获取一个新的 bearer_token
,可能我需要向我的令牌 endpoints 发送一个请求,并设置一些特定的HTTP头?
在我输入时大声思考......我应该在 SimpleRefreshTokenProvider
中处理refresh_token到期吗?客户如何获得新的 refresh_token
?
我真的可以使用一些阅读材料/文档,因为我不想弄错,并希望遵循某种标准 .
4 回答
刚刚使用Bearer实现了我的OWIN服务(在下面称为access_token)和Refresh Tokens . 我对此的见解是,您可以使用不同的流程 . 因此,它取决于您要使用的流程如何设置access_token和refresh_token到期时间 .
我将在后面描述两个 flows A 和 B (我建议你想要的是流程B):
A) access_token和refresh_token的到期时间与默认的1200秒或20分钟相同 . 此流程需要您的客户端首先发送带有登录数据的client_id和client_secret以获取access_token,refresh_token和expiration_time . 使用refresh_token,现在可以获得新的access_token 20分钟(或者在OAuthAuthorizationServerOptions中设置AccessTokenExpireTimeSpan的任何内容) . 由于access_token和refresh_token的到期时间相同,您的客户端有责任在到期时间之前获取新的access_token!例如 . 您的客户端可以使用正文向您的令牌 endpoints 发送刷新POST调用(注释:您应该在 生产环境 中使用https)
在例如获得新令牌之后19分钟,以防止令牌到期 .
B) 在此流程中,您希望access_token的短期到期以及refresh_token的长期到期 . 让我们假设出于测试目的,您将access_token设置为在10秒内过期(
AccessTokenExpireTimeSpan = TimeSpan.FromSeconds(10)
),并将refresh_token设置为5分钟 . 现在谈到设置refresh_token的到期时间的有趣部分:你在SimpleRefreshTokenProvider类的createAsync函数中执行此操作,如下所示:现在,当
access_token
过期时,您的客户端能够使用refresh_token向您的令牌 endpoints 发送POST调用 . 通话的正文部分可能如下所示:grant_type=refresh_token&client_id=xxxxxx&refresh_token=xxxxxxxx-xxxx-xxxx-xxxx-xx
一个重要的事情是,您可能不仅要在CreateAsync函数中使用此代码,还要在Create函数中使用此代码 . 因此,您应该考虑使用您自己的函数(例如,名为CreateTokenInternal)来实现上述代码 . Here you can find implementations of different flows including refresh_token flow(但没有设置refresh_token的到期时间)
Here is one sample implementation of IAuthenticationTokenProvider on github(设置了refresh_token的到期时间)
很抱歉,我无法提供比OAuth规范和Microsoft API文档更多的材料 . 我会在这里发布链接,但我的声誉不允许我发布超过2个链接....
我希望这可以帮助其他人在尝试使用与access_token到期时间不同的refresh_token到期时间来实现OAuth2.0时节省时间 . 我在网上找不到一个示例实现(除了上面链接的一个thinktecture),它花了我几个小时的调查,直到它对我有用 .
新信息:在我的情况下,我有两种不同的可能性来接收令牌 . 一种是接收有效的access_token . 在那里,我必须发送一个带有String主体的POST调用,格式为application / x-www-form-urlencoded,其中包含以下数据
第二,如果access_token不再有效,我们可以通过发送一个带有String体的POST调用来尝试refresh_token,格式为
application/x-www-form-urlencoded
,带有以下数据grant_type=refresh_token&client_id=YOURCLIENTID&refresh_token=YOURREFRESHTOKENGUID
你需要实现 RefreshTokenProvider . 首先为RefreshTokenProvider创建类,即 .
然后将实例添加到 OAuthOptions .
我不认为你应该使用数组来维护令牌 . 你也不需要guid作为代币 .
您可以轻松使用context.SerializeTicket() .
请参阅下面的代码 .
Freddy's answer帮助我做了很多工作 . 为了完整起见,您可以在此处实现令牌的哈希:
在
CreateAsync
:ReceiveAsync
: