据我了解,它可以创建一个短期实时访问令牌。但它是否具有与授权代码类似的单次使用访问令牌?
这样做的最佳方法是什么?我曾考虑使用刷新令牌,但这仍然是短暂的,而不是单一的(一次性使用)。
或者它可以这样做:
App1需要从IS4获取访问令牌才能调用App2,但该令牌只能使用一次。 IS4可以保持状态,App2需要调用IS4的内省端点(而不是JWT的本地验证),IS4检查其状态并允许一次吗?
提前致谢。
答案 0 :(得分:2)
您可以将IdentityServer配置为将唯一值(jti
声明)放入访问令牌中。这是客户设置。
这可用于维护API上的重放缓存,以拒绝多次使用的令牌。令牌生存期有助于修剪缓存。