我们有一个使用本地 API 身份验证通过 IdentityServer4 保护的 Web API。我们目前正在使用参考令牌和刷新令牌。既然我们有能力随时撤销引用令牌,我们是否有必要使用刷新令牌?我们不能为引用令牌设置一个较长的有效期吗?这种方法有任何安全隐患吗?
我在身份服务器上使用引用令牌,并希望将一些附加数据传递给客户端。
我知道如何通过在我的配置文件服务中设置声明来使用 JWT 执行此操作,但我找不到使用引用令牌执行类似操作的方法。理想情况下,我想将我的数据作为令牌 json 结果中的额外参数传递,如下所示:
{
"access_token": "...",
"expires_in": 3600,
"token_type": "Bearer",
"scope": "api1",
"custom_property": "custom value"
}