如何知道访问令牌已过期?

Posted

技术标签:

【中文标题】如何知道访问令牌已过期?【英文标题】:How to know that access token has expired? 【发布时间】:2018-02-17 07:11:14 【问题描述】:

客户端如何知道访问令牌已过期,以便他使用刷新令牌请求另一个访问令牌?

如果回答是服务端 API 会返回 401,那么 API 怎么知道访问令牌已经过期?

我正在使用 IdentityServer4。

【问题讨论】:

【参考方案1】:

如果包含的不记名令牌已经过期,您的 api 应该拒绝任何调用。对于 webapi 应用程序,IdentityServerAuthenticationOptions 将完成这项工作。

但是您的调用者 Web 应用程序负责保持您的 access_token 处于活动状态。例如,如果您的 Web 应用程序是 ASP.Net 核心应用程序,您可以使用AspNetCore.Authentication.Cookies 来验证任何请求。在这种情况下,您可以通过OnValidatePrincipal 事件找到有关令牌过期信息的信息。 

app.UseCookieAuthentication(new CookieAuthenticationOptions

    AuthenticationScheme = "Cookies",
    //ExpireTimeSpan = TimeSpan.FromSeconds(100),
    AutomaticAuthenticate = true,
    AutomaticChallenge = true,
    Events = new CookieAuthenticationEvents()
    
        OnValidatePrincipal = async x =>
        
            if (x.Properties?.Items[".Token.expires_at"] == null) return;
            var now = DateTimeOffset.UtcNow;

            var tokenExpireTime = DateTime.Parse(x.Properties.Items[".Token.expires_at"]).ToUniversalTime();
            var timeElapsed = now.Subtract(x.Properties.IssuedUtc.Value);
            var timeRemaining = tokenExpireTime.Subtract(now.DateTime);

            if (timeElapsed > timeRemaining)
            
                //Get the new token Refresh the token

我在另一个 *** answer 中添加了有关如何使用刷新令牌获取新访问令牌的完整实现

【讨论】:

以上是关于如何知道访问令牌已过期?的主要内容,如果未能解决你的问题,请参考以下文章

如何识别 OAuth 令牌是不是已过期?

OAuth 2.0 访问令牌已过期,刷新令牌不可用

腾讯先锋怎么解决token过期

过期后使用刷新令牌获取访问令牌(JWT)

使用 Angular 和 JWT 令牌持续登录

facebook 访问令牌已过期