Asp.net core 如何使用Identity server 4 jwt身份验证和资源所有者密码授予使jwt访问令牌无效或撤销?
我们在identity server中使用了JWT身份验证方案和资源所有者密码授予类型。后端是基于.Net核心的微服务,为基于angular的前端网站提供访问令牌 由于jwt令牌是不可撤销的,并且业务需求是具有更长的访问令牌生存期,所以似乎唯一的选择是在数据库或缓存中跟踪列入黑名单的令牌Asp.net core 如何使用Identity server 4 jwt身份验证和资源所有者密码授予使jwt访问令牌无效或撤销?,asp.net-core,asp.net-core-webapi,identityserver4,asp.net-core-2.2,Asp.net Core,Asp.net Core Webapi,Identityserver4,Asp.net Core 2.2,我们在identity server中使用了JWT身份验证方案和资源所有者密码授予类型。后端是基于.Net核心的微服务,为基于angular的前端网站提供访问令牌 由于jwt令牌是不可撤销的,并且业务需求是具有更长的访问令牌生存期,所以似乎唯一的选择是在数据库或缓存中跟踪列入黑名单的令牌 有没有办法修改后端的访问令牌并使其在用户触发从前端注销时立即过期?JWT令牌存储在浏览器中,因此您可以删除它的cookie。 但此选项在服务器端不提供安全性 如果您担心被删除/挂起的帐户,那么是的,您必须创建一
有没有办法修改后端的访问令牌并使其在用户触发从前端注销时立即过期?JWT令牌存储在浏览器中,因此您可以删除它的cookie。 但此选项在服务器端不提供安全性 如果您担心被删除/挂起的帐户,那么是的,您必须创建一个黑名单,但您必须对每个请求进行比较
另一个选择是减少过期时间并进行轮换。这里有一篇文章详细介绍了JWT令牌存储在浏览器中,因此您可以删除其中的cookie。 但此选项在服务器端不提供安全性 如果您担心被删除/挂起的帐户,那么是的,您必须创建一个黑名单,但您必须对每个请求进行比较
另一个选择是减少过期时间并进行轮换。这里有一篇文章有更多的细节,JWT不能撤销,因为它是独立的。可撤销的替代方案不是自包含的,因此服务器需要主动与identity server通信
折衷和常见的方法是将访问令牌生存期设置为较低的值,并增加刷新令牌生存期。刷新令牌是可撤销的-identity server 4也支持它。因此,这一切都是关于在与身份服务器的通信频率和长访问令牌寿命之间进行权衡。JWT不能撤销,因为它是自包含的。可撤销的替代方案不是自包含的,因此服务器需要主动与identity server通信
折衷和常见的方法是将访问令牌生存期设置为较低的值,并增加刷新令牌生存期。刷新令牌是可撤销的-identity server 4也支持它。因此,这完全是关于在与身份服务器的通信频率和长访问令牌生存期之间进行权衡。短过期时间是一种解决方案,但要求具有长过期时间。如果identity server中有某种方法可以通过将过期时间设置为当前时间或其他机制来修改访问令牌,那就太好了。短期过期时间是一种解决方案,但要求具有较长的过期时间。如果identity server中有某种方法可以通过将过期时间设置为当前时间或其他机制来修改访问令牌,那就太好了。请注意,资源所有者密码凭据(ROPC)流是一种安全威胁。它现在和现在(可能出于这个原因)不再是的一部分。请注意,资源所有者密码凭据(ROPC)流是一种安全威胁。它现在和现在(可能是因为这个原因)都不再是世界的一部分了。