带有JWT的Identity Server 4。不同终结点上的不同过期日期
我正在使用Identity Server 4对Dotnet core 2.0 WebAPI项目进行身份验证。该API由多个web和iOS/Android应用程序使用 今天,我们使用JWT作为访问令牌,并将标准JWT expire标志设置为登录时间+1小时,以确定JWT是否已过期。现在,我们想更改API中仍然需要用户登录才能接收JTW的一些端点,但是在这些端点上,JWT应该有效很多天带有JWT的Identity Server 4。不同终结点上的不同过期日期,jwt,identityserver4,Jwt,Identityserver4,我正在使用Identity Server 4对Dotnet core 2.0 WebAPI项目进行身份验证。该API由多个web和iOS/Android应用程序使用 今天,我们使用JWT作为访问令牌,并将标准JWT expire标志设置为登录时间+1小时,以确定JWT是否已过期。现在,我们想更改API中仍然需要用户登录才能接收JTW的一些端点,但是在这些端点上,JWT应该有效很多天 是否可以为一次登录处理多个JWT,或者是否应该使用JWT中的自定义属性来处理更安全的端点?访问令牌有两个优点,它们
是否可以为一次登录处理多个JWT,或者是否应该使用JWT中的自定义属性来处理更安全的端点?访问令牌有两个优点,它们是独立的,您可以引用令牌并利用它们进行额外检查。有一个内置的,您可以根据API安全级别设置其CacheDuration。
您还可以通过自定义自省响应,谢谢您的回复。我不知道为什么引用令牌在这种情况下会有帮助。我的理解是,CacheDuration将设置为令牌本身,并将在所有端点的同一时间过期。我希望能够根据端点是否被视为更安全的端点而具有不同的过期日期。IDS4上的每个API都无法设置访问令牌生存期。不过,在其他一些提供商上也是可能的。使用参考代币是实现您业务所需的建议解决方案。刷新令牌是一个很好的例子,可以了解它是如何工作的。我将进一步了解refesh代币的工作原理。谢谢你的帮助!