我使用Windows Identity Foundation OAuth和Owin中间件实现了一个WEB API 2.x.问题是令牌的到期是固定的。我有要求用户可以保持活动(滑动到期)比如15分钟。
我读到使用cookie和SessionAuthenticationModule_SessionSecurityTokenReceived实现了滑动过期。它是Web api的合适方法吗?此Cookie过期如何与OAuth / Owin令牌过期时间一起使用?
另一方面,刷新令牌。目前,该应用程序不是一个登录并留在其中的iPad应用程序。它更像是一个Web浏览器应用程序。刷新令牌如此长寿的事实让我担心;以及实现令牌刷新方法的其他列。
我很困惑为什么人们采取这种不同的方法。对于MVC而不是WebAPI,cookie更接近吗?我将AngularJS应用程序作为前端。我的实现是他们所谓的两脚服务器客户端Web api。身份验证和应用程序是同一台服务器。
的最接近的地方