我有一个使用BEARER TOKEN身份验证的ASP.NET Web SPA web api项目。
我已将它部署到几个不同的地方,本地和天蓝云,我没有看到这个问题。
由于预算原因,我决定从托管公司(winhost)购买。当站点仅从此主机运行时,我只看到以下问题。
问题是在您登录站点并闲置X分钟后,下一个请求失败,直到您刷新并登录。 (我得到401(未经授权))
令牌的到期似乎只有10-20分钟,而不是2周(默认情况下,天蓝色和我的视觉工作室本地工作)。我收到时还打印了令牌,为期2周。
我期待的行为是要缓存的承载令牌(我已通过记录标头确认),然后与下一个请求一起发送,然后授权并返回结果。
这个新主机有一些默认的IIS设置我认为是破坏它。我已经不得不更改一些默认设置,例如通过IIS管理器手动关闭基本身份验证。
有什么想法吗?
我能找到的唯一符合我所看到的描述的是这个链接。 ASP.NET Web API Authorization tokens expiring early
我会对这篇文章发表评论,但我没有足够高的声望点。出于方便,我在下面复制了这篇文章。
我已按照here所述为我的网络API(个人帐户)实施了安全性。
我在godaddy(共享主机)上托管了该网站,并且其工作正常。 当我使用url“domain.com/token”请求令牌时,我会获得有效期为15天的令牌。我已经使用
在“StartupAuth.cs”中设置了它AccessTokenExpireTimeSpan = TimeSpan.FromDays(15)
例如:
{
"access_token":"qwertyuiop.....",
"token_type":"bearer",
"expires_in":1209599,
"userName":"user@example.com",
".issued":"Wed, 11 Feb 2015 01:00:00 GMT",
".expires":"Thu, 26 Feb 2015 01:00:00 GMT"
}
(我把值放在上面的代码中,但你明白了“.expires”字段。
获取令牌后5分钟,当我尝试通过授权访问“get”或“post”或我的API中的任何方法时:标头中的bearer token为:
Authorization: Bearer qwertyuiop.....
我收到此错误:
{"Message":"Authorization has been denied for this request."}
虽然它只是5分钟而且令牌应该持续15天,但它会在5分钟内到期。 当我在5分钟的间隔内请求任何方法“获取”/“发布”时,我在JSON中得到了我的数据的正确响应。简而言之,授权成功。
我通过Fiddler,Chrome的REST插件以及使用API的移动应用程序对其进行了测试,从而重复了这种行为。
我的会话的web.config值如下(我认为它相关)
<sessionState timeout="180" />
请注意,不使用表单身份验证,因此不需要在web.config中对该部分进行超时。
知道发生了什么事吗?此超时导致使用API的移动应用程序的用户不时地重新登录。任何帮助将不胜感激。
感谢。
答案 0 :(得分:0)
在IIS中,可以在应用程序级别设置机器密钥,每次应用程序池回收时都会生成新的机器密钥,因此您需要一个新的令牌
答案 1 :(得分:0)
已回答here
添加到web.config不受应用程序池回收的影响
<system.web>
<machineKey validationKey="21F090935F6E49C2C797F69BBAAD8402ABD2EE0B667A8B44EA7DD4374267A75D7AD972A119482D15A4127461DB1DC347C1A63AE5F1CCFAACFF1B72A7F0A281B"
decryptionKey="261F793EB53B761503AC445E0CA28DA44AA9B3CF06263B77"
validation="SHA1"/>