Web API 更新的令牌认证

Posted 2023-03-10

【中文标题】Web API 更新的令牌认证

【英文标题】：Token authentication for Web API renewal

【发布时间】：2020-05-12 01:31:25

【问题描述】：

我正在编写一个 Web api，它将从后台服务调用以获取一些数据。经过一番研究，我决定使用 Json Web 令牌来实现这一目标，但我仍然对何时应该请求新令牌感到有些困惑。

假设我启动我的服务，我请求一个令牌，令牌在 15 分钟后过期，然后在 20 分钟后我用过期的令牌进行 api 调用。我会收到未经授权的错误或其他东西。

我的问题是：客户端如何知道何时请求新令牌？它应该在每次 api 调用之前请求一个新的吗？好像我错过了什么。也许我应该使令牌永久化并将其存储在数据库中？

谢谢

【参考方案1】：

这个问题的答案有点特定于应用程序，但 OAuth 规范有一种“刷新令牌”机制，可用于授予新的“访问令牌”（通常包含在每个 API 请求中的令牌），而无需将用户发送到 UI 身份验证过程以让他们重新进行身份验证。因此，一旦您请求访问令牌，您将收到一个刷新令牌和一个访问令牌。这种方法允许在更短的时间内使用访问令牌。

这也可以在没有刷新令牌的情况下完成，但在这些情况下，访问令牌超时可能会更长，然后您会请求用户通过通常的 OAuth UI 流程重新进行身份验证。请注意，即使您确实有刷新令牌，也可以将刷新令牌设置为过期，这将需要用户再次通过 UI 重新进行身份验证。

在某些 API 中，您只需像往常一样发出 API 请求，如果您收到由 API 定义为指示访问令牌已过期的响应，则您可以发出 API 调用以刷新令牌（或完全请求一个新的，如果它已过期，或者您的 API 没有刷新令牌），然后使用新的访问令牌再次进行原始 API 调用。

API 还可以具有包含访问令牌的超时或到期日期/时间的响应。然后，客户端可以避免先发送初始 API 调用，而只需先发送刷新令牌调用。

在实现您的 API 时，您可能会使用这些方法中的任何一种。

以下是 OAuth 规范网站上的一些一般性讨论，以提供更深入的信息： https://www.oauth.com/oauth2-servers/making-authenticated-requests/

https://www.oauth.com/oauth2-servers/access-tokens/access-token-lifetime/

https://www.oauth.com/oauth2-servers/access-tokens/refreshing-access-tokens/

此外，这里有一个来自 Twitter API 的示例，它涉及显示访问令牌过期技术之一的响应代码（请参阅错误代码 89 下的“错误代码”部分，这意味着令牌已过期，您需要获取新的）：

https://developer.twitter.com/en/docs/basics/response-codes

【讨论】：

你知道它是如何在移动应用上运行的吗？您只需登录一次即可访问 API。

这与在浏览器中的工作方式相同。但是对于移动应用程序，您可以使用刷新令牌（允许访问令牌在过期时刷新，因为刷新令牌通常具有更长的过期时间），甚至可能没有刷新令牌过期（或没有访问令牌过期），尤其是当应用程序与 API 由同一家公司制作时。

【参考方案2】：

由于您的客户端是后台服务，您可以使用Oauth2 Client Credential Flow。当客户端请求访问受其控制的受保护资源时，您的后台服务可以仅使用其客户端凭据请求访问令牌。

通过这个流程，你不需要太关心令牌是否过期，如果客户端发送一个过期令牌到 web api，web api 验证令牌并创建令牌过期响应你的服务，你的服务检查状态码/response，直接向web api发送新的token请求获取新的访问token，不需要使用其他流程中使用的refresh token。

【讨论】：

但这意味着我必须检查我所做的每个 API 调用的响应并检查是否存在“令牌过期”错误，然后请求新令牌并重新进行 API 调用。好像有很多重复的代码。

进行api调用时可以在客户端查看token是否过期。事实上，与在其他流程中使用刷新令牌相比，这是更清洁的方式。当然，您也可以使用代码流，但这需要用户登录并在您的客户端应用程序中处理令牌/刷新令牌

【参考方案3】：

事实上，您的安全带应该准备好在获得未授权状态代码时请求任何令牌。我在测试中所做的是检查到期日期时间，如果足够接近，我会刷新或获取适用于您的身份验证的新令牌。此外，当获得未经授权的状态代码时，我的代码会刷新一次并保持计数。如果我得到另一个未经授权的代码，那么我在第二次尝试记录错误后返回错误或抛出异常。这对我来说很好。