在某些情况下,我有一点麻烦,一个页面应用程序会同时进行多个api调用来更新刷新令牌。我有一个SPA,其中的堆栈包含以下内容。
HTML / JS SPA-> MVC应用程序-> WebAPI
我利用混合流,当用户登录页面时,我将id_token,access_token和refresh_token存储在会话cookie中。
我使用一个HttpClient(其中有两个DelegatingHandlers)与Web API进行通信。委托处理程序之一只是将访问令牌添加到Authorization标头中。另一个在此之前运行,并检查访问令牌上剩余的生存期。如果访问令牌的时间有限,则使用refresh_token获取新凭据并将其保存回我的会话中。
这是OidcTokenRefreshHandler的代码。
public class OidcTokenRefreshHandler : DelegatingHandler
{
private readonly IHttpContextAccessor _httpContextAccessor;
private readonly OidcTokenRefreshHandlerParams _handlerParams;
public OidcTokenRefreshHandler(IHttpContextAccessor httpContextAccessor, OidcTokenRefreshHandlerParams handlerParams)
{
_httpContextAccessor = httpContextAccessor;
_handlerParams = handlerParams;
}
protected override async Task<HttpResponseMessage> SendAsync(HttpRequestMessage request,
CancellationToken cancellationToken)
{
var accessToken = await _httpContextAccessor.HttpContext.GetTokenAsync("access_token");
var handler = new JwtSecurityTokenHandler();
var accessTokenObj = handler.ReadJwtToken(accessToken);
var expiry = accessTokenObj.ValidTo;
if (expiry - TimeSpan.FromMinutes(_handlerParams.AccessTokenThresholdTimeInMinutes) < DateTime.UtcNow )
{
await RefreshTokenAsync(cancellationToken);
}
return await base.SendAsync(request, cancellationToken);
}
private async Task RefreshTokenAsync(CancellationToken cancellationToken)
{
var client = new HttpClient();
var discoveryResponse = await client.GetDiscoveryDocumentAsync(_handlerParams.OidcAuthorityUrl, cancellationToken);
if (discoveryResponse.IsError)
{
throw new Exception(discoveryResponse.Error);
}
var refreshToken = await _httpContextAccessor.HttpContext.GetTokenAsync(OpenIdConnectParameterNames.RefreshToken);
var tokenResponse = await client.RequestRefreshTokenAsync(new RefreshTokenRequest
{
Address = discoveryResponse.TokenEndpoint,
ClientId = _handlerParams.OidcClientId,
ClientSecret = _handlerParams.OidcClientSecret,
RefreshToken = refreshToken
}, cancellationToken);
if (tokenResponse.IsError)
{
throw new Exception(tokenResponse.Error);
}
var tokens = new List<AuthenticationToken>
{
new AuthenticationToken
{
Name = OpenIdConnectParameterNames.IdToken,
Value = tokenResponse.IdentityToken
},
new AuthenticationToken
{
Name = OpenIdConnectParameterNames.AccessToken,
Value = tokenResponse.AccessToken
},
new AuthenticationToken
{
Name = OpenIdConnectParameterNames.RefreshToken,
Value = tokenResponse.RefreshToken
}
};
// Sign in the user with a new refresh_token and new access_token.
var info = await _httpContextAccessor.HttpContext.AuthenticateAsync("Cookies");
info.Properties.StoreTokens(tokens);
await _httpContextAccessor.HttpContext.SignInAsync("Cookies", info.Principal, info.Properties);
}
}
问题在于许多电话大致同时拨打了电话。然后,所有这些调用将同时到达刷新端点。他们都将检索新的有效访问令牌,并且该应用程序将继续运行。但是,如果同时发生3个请求,则将创建三个新的刷新令牌,并且其中只有一个有效。由于应用程序的异步特性,我无法保证存储在会话中的刷新令牌实际上是最新的刷新令牌。下次需要刷新刷新令牌时,它可能无效(并且经常是无效的)。
到目前为止我对可能的解决方案的想法。
在使用Mutex或类似符号检查访问令牌时将其锁定。但是,这可能会被其他会话不同的用户使用时(据我所知)。如果我的MVC应用程序跨多个实例,它也将不起作用。
进行更改,以便刷新令牌在使用后仍然有效。因此,使用这三个中的哪一个都没有关系。
任何关于以上哪个更好的想法,或者有人有真正聪明的选择。
非常感谢!
答案 0 :(得分:0)
当所有请求都来自同一个SPA时,最好的方法是在浏览器中同步它们,并摆脱服务器端的问题。每次您的客户代码需要令牌时,都要返回一个承诺。所有请求都具有相同的Promise实例,因此它们都可以通过向服务器发送的唯一请求来解决。
不幸的是,如果您通过本地API代理所有请求并且从未将承载传递给SPA,那么我的想法将行不通。
但是,如果您确保刷新令牌绝对安全(永远不要将其发送到前端),那么我看不到任何问题使其可重用。在这种情况下,您可以打开滑动选项as excellently described here来执行较少的续订请求。