我不确定是否要在StackOverflow或https://security.stackexchange.com/上发布此问题,但我已经使用了StackOverflow,因为我已经看到此网站上还有其他基于令牌的问题,以及因为我不确定我为(Web API Core)开发的平台是否是一个因素。
我正在为Web API Core Web服务开发一个授权系统,我试图想出处理身份验证和授权的最佳方法。
我目前的想法是以下模式:
我的理由是,如果在一段时间内没有请求,我不希望会话持续存在,但我不想强迫用户必须重新开始 - 在更长的时间内再次使用他们的用户名和密码进行验证。
这样安全吗?是不必要的多余?如果这是一般的Web服务身份验证的正确模式吗?