我使用的是 Visual Studio 2013 附带的 Web Api 2 模板,其中有一些 OWIN 中间件来执行用户身份验证等.

在 OAuthAuthorizationServerOptions 中,我注意到 OAuth2 服务器设置为分发 14 天后到期的令牌

OAuthOptions = 新的 OAuthAuthorizationServerOptions{TokenEndpointPath = new PathString("/api/token"),Provider = new ApplicationOAuthProvider(PublicClientId,UserManagerFactory) ,AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),AllowInsecureHttp = true};

这不适合我最近的项目.我想分发可以使用 refresh_token



所以这是我设法达到的程度.我现在已经达到了WTF do I now"的地步.

我编写了一个 RefreshTokenProvider,它根据 OAuthAuthorizationServerOptions 类上的 RefreshTokenProvider 属性实现了 IAuthenticationTokenProvider:>

公共类 SimpleRefreshTokenProvider : IAuthenticationTokenProvider{私有静态 ConcurrentDictionary_refreshTokens = new ConcurrentDictionary();公共异步任务 CreateAsync(AuthenticationTokenCreateContext 上下文){var guid = Guid.NewGuid().ToString();_refreshTokens.TryAdd(guid, context.Ticket);//哈希??context.SetToken(guid);}公共异步任务 ReceiveAsync(AuthenticationTokenReceiveContext context){AuthenticationTicket 票证;if (_refreshTokens.TryRemove(context.Token, out ticket)){上下文.SetTicket(票);}}公共无效创建(AuthenticationTokenCreateContext 上下文){抛出新的 NotImplementedException();}公共无效接收(AuthenticationTokenReceiveContext 上下文){抛出新的 NotImplementedException();}}//现在在我的 Startup.Auth.csOAuthOptions = 新的 OAuthAuthorizationServerOptions{TokenEndpointPath = new PathString("/api/token"),Provider = new ApplicationOAuthProvider(PublicClientId,UserManagerFactory) ,AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(2),AllowInsecureHttp = 真,RefreshTokenProvider = new RefreshTokenProvider()//这是我的测试};

所以现在当有人请求 bearer_token 时,我现在发送的是 refresh_token,这很棒.

那么现在我如何使用这个 refresh_token 来获取一个新的 bearer_token,大概我需要向我的令牌端点发送一个请求,并设置一些特定的 HTTP 标头?

在我输入的时候大声思考...我应该在我的 SimpleRefreshTokenProvider 中处理 refresh_token 过期吗?客户端如何获得新的refresh_token?



刚刚使用 Bearer(以下称为 access_token)和 Refresh Tokens 实现了我的 OWIN 服务.我对此的见解是您可以使用不同的流程.因此,这取决于您要使用的流程如何设置 access_token 和 refresh_token 到期时间.


A) access_token 和 refresh_token 的过期时间与默认的 1200 秒或 20 分钟相同.此流程需要您的客户端首先发送带有登录数据的 client_id 和 client_secret,以获取 access_token、refresh_token 和 expire_time.使用 refresh_token 现在可以获得一个新的 access_token 20 分钟(或任何你在 OAuthAuthorizationServerOptions 中设置的 AccessTokenExpireTimeSpan ).因为access_token和refresh_token的过期时间是一样的,你的客户端有责任在过期时间之前拿到一个新的access_token!例如.您的客户端可以使用正文向您的令牌端点发送刷新 POST 调用(备注:您应该在生产中使用 https)


在例如之后获取新令牌19 分钟以防止令牌过期.

B) 在此流程中,您希望 access_token 有一个短期到期,而 refresh_token 有一个长期到期.让我们假设出于测试目的,您将 access_token 设置为在 10 秒后过期 (AccessTokenExpireTimeSpan = TimeSpan.FromSeconds(10)),并将 refresh_token 设置为 5 分钟.现在是设置 refresh_token 过期时间的有趣部分:您可以在 SimpleRefreshTokenProvider 类中的 createAsync 函数中执行此操作,如下所示:

var guid = Guid.NewGuid().ToString();//复制属性并设置刷新令牌的期望生命周期var refreshTokenProperties = new AuthenticationProperties(context.Ticket.Properties.Dictionary){IssuedUtc = context.Ticket.Properties.IssuedUtc,ExpiresUtc = DateTime.UtcNow.AddMinutes(5)//将日期时间设置为5分钟//ExpiresUtc = DateTime.UtcNow.AddMonths(3)};/*创建一个有效期为 5 分钟的新票证*包括上下文门票的价值:所以我们* 做这里是为了添加属性 IssuedUtc 和*ExpiredUtc 到 TICKET*/var refreshTokenTicket = new AuthenticationTicket(context.Ticket.Identity, refreshTokenProperties);//将新的 refreshTokenTicket 保存到 ConcurrentDictionary 类型的本地变量中//考虑只存储句柄的哈希值RefreshTokens.TryAdd(guid, refreshTokenTicket);context.SetToken(guid);

现在,当 access_token 过期时,您的客户端可以向您的令牌端点发送带有 refresh_token 的 POST 调用.调用的正文部分可能如下所示:grant_type=refresh_token&client_id=xxxxxx&refresh_token=xxxxxxxx-xxxx-xxxx-xxxx-xx

一件重要的事情是,您可能希望不仅在 CreateAsync 函数中而且在 Create 函数中使用此代码.所以你应该考虑对上面的代码使用你自己的函数(例如称为 CreateTokenInternal).在这里你可以找到不同流的实现,包括refresh_token流(但不设置refresh_token的过期时间)

这是 github 上 IAuthenticationTokenProvider 的一个示例实现(设置refresh_token的过期时间)

很抱歉,除了 OAuth 规范和 Microsoft API 文档之外,我无法提供更多材料.我会在这里发布链接,但我的声誉不允许我发布超过 2 个链接......

我希望这可以帮助其他人在尝试使用 refresh_token 到期时间与 access_token 到期时间不同的 OAuth2.0 时节省时间.我在网上找不到示例实现(上面链接的 thinktecture 除外),我花了几个小时进行调查,直到它对我有用.

新信息:就我而言,我有两种不同的可能性来接收令牌.一种是接收有效的 access_token.在那里,我必须使用以下数据以 application/x-www-form-urlencoded 格式发送带有字符串正文的 POST 调用


其次是如果 access_token 不再有效,我们可以通过发送带有字符串主体的 POST 调用来尝试 refresh_token,格式为 application/x-www-form-urlencoded 并带有以下数据 grant_type=refresh_token&client_id=YOURCLIENTID&refresh_token=YOURREFRESHTOKENGUID

