我们有一个使用本地API身份验证通过IdentityServer4保护的Web API。我们目前正在使用参考令牌和刷新令牌。由于我们可以随时撤消参考令牌,因此是否有必要使用刷新令牌?我们不能为参考令牌设置一个较长的有效期吗?这种方法有安全性吗?
答案 0 :(得分:1)
使用参考令牌时-IdentityServer将存储内容 数据存储区中令牌的数量,并且只会发出唯一的标识符 将此令牌返回给客户端。收到此参考的API 然后必须打开与IdentityServer的反向通道通信以 验证令牌。
换句话说,客户端不必提供对api的访问令牌,只需传递引用即可。
这是JWT令牌和参考令牌之间的很大差异。客户端向API发送API必须信任的JWT令牌,而无需咨询提供商,而参考令牌则强制API与提供商联系,而不必依赖客户端。
来自Refresh Tokens documentation:
由于访问令牌的生存期有限,因此刷新令牌允许 无需用户交互即可请求新的访问令牌。
现在的问题是,参考令牌可以过期吗?与JWT令牌不同,它本身不包含逻辑,因此它本身并非如此。但是可能有一个服务器端设置触发某种形式的到期,或者实际上导致了对引用的撤销。
无论哪种方式,在这种情况下都没有使用刷新令牌。由于您无法刷新参考令牌。参考令牌存在或不存在(无效或已被撤销)。