IdentityServer4 refresh_token Widerruf

Question

Ich habe SPA App, die IdentityServer4 ROPC-Fluss für Auth mit Zugriffs- und Aktualisierungstoken aus diesem Beispiel https://github.com/robisim74/AngularSPAWebAPI verwendet. Alle 15 Minuten aktualisiere ich refresh_token für ein neues Paar von Refresh- und Zugriffstoken.

Allerdings, wenn ich die IdentityServer4 App neu starten alten refresh_tokens vor dem Neustart ausgestellt nicht mehr gültig. Wie man es repariert? Ich vermute, ich sollte eine Schnittstelle implementieren, um ausgegebene Aktualisierungstoken zu speichern.

Answer 1

Sie müssen persistente Subventionen implementieren, indem Sie den IPersistedGrantStore Vertrag verwenden. Dies speichert Dinge wie Refresh_Token in einer definierten Persistenz. Standardmäßig verwendet IdentityServer 4 einen InMemory-Persistenzspeicher, weshalb Sie Ihre refresh_token-Referenzen weiterhin verlieren, wenn Sie die Anwendung neu starten.

Es ist ziemlich notwendig, eine Persistence-Schicht dafür in der Produktion zu haben, wenn Sie refresh_tokens verwenden.