IdentityServer BestPractice何时刷新令牌

时间:2016-09-29 18:47:20

标签: identityserver3

我做了一个简单的测试应用程序,它使用混合流进行身份验证。 我将刷新令牌存储为声明,因此我可以刷新令牌。

但建议的最佳做法是什么?

我应该在哪个事件上验证到期日期?或者我应该等待未经授权的活动?这有什么例子吗?

我知道我可以在提出请求之前检查令牌的过期,或者我可能会等待未经授权的人,但是在做什么事情或者做什么事情时,是否有任何建议的最佳实践方式?

1 个答案:

答案 0 :(得分:3)

您通常将刷新令牌存储在某个持久性数据存储中,因为它的重点是获得对API的长期访问。

然后您可以使用访问令牌,只要它有效(例如,使用它直到您从APII获得401)。然后使用刷新令牌刷新令牌。