JWT访问令牌与刷新令牌(创建)

Question

我正在创建一个Asp.net核心REST服务.目前正在通过JWT承载令牌进行身份验证.

现在,我的代码看起来像:

        DateTimeOffset dtNow = DateTime.Now;

        Claim[] claims = new Claim[]
        {
            new Claim(JwtRegisteredClaimNames.Sub, strUsername),
            new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
            new Claim(JwtRegisteredClaimNames.Iat, dtNow.ToUnixTimeSeconds().ToString(), ClaimValueTypes.Integer64)
        };

        JwtSecurityToken jwtAccess = new JwtSecurityToken(_options.Issuer, _options.Audience, claims, dtNow.DateTime, dtNow.DateTime.Add(_options.AccessTokenExpiration),
                                                          _options.SigningCredentials);

        var response = new
        {
            access_token = new JwtSecurityTokenHandler().WriteToken(jwtAccess),
            token_type = "Bearer",
            expires_in = (int)_options.AccessTokenExpiration.TotalSeconds,
            refresh_token = ""
        };

问题:

1. 现在,我的访问令牌1小时和我的刷新令牌60天.这些合理的价值观是？
2. 没有看到关于如何创建refresh_token多文档...这是创建 正是像访问令牌,只是用不同的超时？
3. 我的理解是我应该将刷新令牌存储在数据库中,如果用户发送刷新令牌请求,我需要验证令牌的签名并确保它在我的数据库中？
4. 当用户请求刷新令牌时,我应该返回相同的refresh_token,无论它是否过期,让用户担心获取新的？
5. 用户一次只能有一个刷新令牌,对吗？如果他们再做一次password_grant,我只是覆盖刷新令牌,好像他们正在获得一个全新的？
6. 最后一个问题是,我看到人们正在进行JWT身份验证,这就是为什么我这样做的原因大声笑,但这有什么不同,只是通过HTTPS发送用户名/密码？我知道JTW在有效负载中携带状态/角色/等,因此可以保存数据库调用,但由于身份验证令牌很短,所以他们必须每5分钟获取一个新令牌,所以这似乎都是喜欢洗,除非我错过了什么？

Answer 1

1. 这完全取决于您的应用程序的需求,但这听起来像合理的数字.

2. 它们的创建方式不同.访问令牌通常是包含JWT的令牌.刷新令牌是必须保存在提供程序上的引用令牌,并在传入新的访问令牌时进行备份.

3. 刷新令牌没有要验证的签名.基本上,您将传递客户端ID和秘密以及刷新令牌等信息,这将允许您获取新的访问令牌.就像长时间保存的用户名和密码一样,必要时可以列入黑名单.

4. 不,您每次请求新的访问令牌时都可以更新刷新令牌,这将为您提供"滑动"刷新令牌.

5. 对于每个应用程序,它们可以具有不同的令牌,但是对于每个应用程序,可以在执行新登录时覆盖其先前的刷新令牌.

6. 是的,用户必须在大约30分钟内获得新的访问令牌,但是当您的角色提供者与您的应用程序不同时,这也会有所帮助.这为API提供了一种查看角色的方法,而无需调用授权服务器.当您在令牌中存储信息时,请求保存的数量非常大,并且每30分钟只需要重新获取该信息,而不是针对每个API调用或回发向单独的服务器发送额外的HTTP请求.

希望其中一些有用.我说的是次要的经验,但是有非常好的资源来解释Auth0中的这些东西,或者基本上来自IdentityServer3(现在4)的人