我们使用ASP.NET WebAPI 2& amp ;;开发了一个REST API。使用ASP.NET Identity保护它。客户端要求将其令牌设置为较长的到期时间,因为它们将访问令牌存储在其数据库中。
在测试期间,他们要求我们减少令牌的长度,因为他们的数据库只能处理最多250个字符的字符串。我们的实施很漂亮" vanilla"。以下是我们当前为持有人令牌设置的选项:
OAuthOptions = new OAuthAuthorizationServerOptions {
TokenEndpointPath = new PathString("/oauth/2/token"),
Provider = new ApplicationOAuth2Provider(PublicClientId),
AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(1000000),
AllowInsecureHttp = true
};
我们如何将令牌缩短为250个字符的限制?我已经注意到一些与设置自定义访问令牌格式化程序等相关的属性,但我不确定如何实现这些&这些限制和/或陷阱是什么。
非常感谢任何协助。
答案 0 :(得分:1)
答案是肯定的。
由于客户端只是将相同的令牌字符串发送回服务器,因此您可以发送令牌的哈希值。
我所做的是使用GUID来表示令牌,该令牌只有32个字符。 并在服务器端存储映射信息(GUID =>令牌)。 当用户尝试通过GUID进行身份验证时,您可以从存储它的位置读取REALLY令牌,然后对该证书进行反序列化。
以下是示例代码,核心是覆盖 OAuthAuthorizationServerOptions 类的 OnCreate / OnReceive 方法。 您可能还想覆盖 OnCreateAsync 和 OnReceiveAsync 。
OAuthOptions = new OAuthAuthorizationServerOptions
{
TokenEndpointPath = new PathString("/Token"),
Provider = new ApplicationOAuthProvider(PublicClientId),
AccessTokenProvider = new AuthenticationTokenProvider
{
OnCreate = (context) =>
{
var token = context.SerializeTicket();
var guid = Guid.NewGuid().ToString("N");
// You need to implement your own logical here, for example, store the mapping (guid => token) into database
RedisServer.SetValue(guid, token, TimeSpan.FromDays(Consts.AccessTokenExpireDays));
context.SetToken(guid);
},
OnReceive = (context) =>
{
var token = RedisServer.GetValue(context.Token);
context.DeserializeTicket(token);
}
},
AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(Consts.AccessTokenExpireDays),
// In production mode set AllowInsecureHttp = false
AllowInsecureHttp = true,
};
答案 1 :(得分:0)
我首先要将令牌中包含的声明数量减少到最低限度。
250个字符太短,无法表示任何类型的加密数据结构,例如身份验证令牌。客户端可能会更改为varbinary,但由于他们正在搞乱架构,因此它们可能会增加大小。
运行一些测试以查看您的本地最大值,并添加10%。