我一直在阅读(和观看视频)有关在使用带有很多ajax调用的MVC Core应用程序时如何最好地实现访问和刷新令牌的信息。我想我做对了,但只是想知道是否有更好的方法可以做到这一点。我将编辑此帖子,以便它可以为任何寻求此信息的人提供参考。
我的设置:我有一个带有很多JavaScript的MVC Core应用程序。JavaScript使用ajax调用来检索json或调用操作。
由于我不希望我的用户能够使用cookie身份验证访问我的api,因此我使用app.Map将我的应用程序分为两部分。一种是用户可以使用身份令牌访问视图的视图,另一种则需要访问令牌。我还添加了一个cookie,以保存需要刷新访问令牌的时间。
Startup.cs(我删除了不重要的部分)
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationScheme = "Cookies",
AutomaticAuthenticate = true,
ExpireTimeSpan = TimeSpan.FromMinutes(60)
});
JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
var oidcOptions = new OpenIdConnectOptions
{
AuthenticationScheme = "oidc",
SignInScheme = "Cookies",
Authority = LoginServerUrl,
RequireHttpsMetadata = false,
ClientId = "MyApp",
ClientSecret = "*****",
ResponseType = "code id_token",
SaveTokens = true,
Events = new OpenIdConnectEvents()
{
OnTicketReceived = async notification =>
{
notification.Response.Cookies.Append("NextAccessTokenRefresh", DateTime.Now.AddMinutes(30).ToString());
notification.Response.Cookies.Delete("AccessToken");
},
},
TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters
{
NameClaimType = JwtClaimTypes.Name,
RoleClaimType = JwtClaimTypes.Role,
},
};
oidcOptions.Scope.Clear();
oidcOptions.Scope.Add("openid");
oidcOptions.Scope.Add("roles");
oidcOptions.Scope.Add("offline_access");
app.UseOpenIdConnectAuthentication(oidcOptions);
app.Map("/api", (context) =>
{
var bearerTokenOptions = new IdentityServerAuthenticationOptions
{
AuthenticationScheme = "Bearer",
Authority = LoginServerUrl,,
RequireHttpsMetadata = false,
ScopeName = "MyApi",
AutomaticAuthenticate = true
};
context.UseIdentityServerAuthentication(bearerTokenOptions);
context.UseMvcWithDefaultRoute();
});
使用以下网址/ api / [Controller] / [Action]完成对控制器动作的所有ajax调用。
我不希望使用身份令牌访问我的api,因此我还向控制器操作添加了Authorize(ActiveAuthenticationSchemes =“ Bearer”)属性。因此,现在我的由javascript调用的控制器动作如下所示:
[HttpPost, Authorize(ActiveAuthenticationSchemes = "Bearer")]
public async Task<JsonResult> DoStuff()
{
}
当javascript需要访问api资源时,控制程序首先检索访问令牌,然后使用自定义javascript init方法将其注入到javascript中。
此C#方法负责刷新和检索访问cookie。
public async Task<string> GetAccessTokenAsync()
{
var accessToken = _contextAccessor.HttpContext.Request.Cookies["AccessToken"];
var nextAccessTokenRefresh = _contextAccessor.HttpContext.Request.Cookies["NextAccessTokenRefresh"];
if (string.IsNullOrEmpty(nextAccessTokenRefresh) || string.IsNullOrEmpty(accessToken) || DateTime.Parse(nextAccessTokenRefresh) <= DateTime.Now)
{
var refreshToken = await _contextAccessor.HttpContext.Authentication.GetTokenAsync("refresh_token");
var tokenClient = new TokenClient(_appSettings.LoginServerUrl + "/connect/token", _appSettings.LoginClientId, _appSettings.LoginClientSecret);
var response = await tokenClient.RequestRefreshTokenAsync(refreshToken);
accessToken = response.AccessToken;
//Set cookies for next refresh
_contextAccessor.HttpContext.Response.Cookies.Append("NextAccessTokenRefresh", DateTime.Now.AddMinutes(30).ToString());
_contextAccessor.HttpContext.Response.Cookies.Append("AccessToken", response.AccessToken);
}
return accessToken;
}
在所有$ .ajax上,我添加了以下参数:
beforeSend: function(xhr, settings) { xhr.setRequestHeader('Authorization','Bearer ' + accessToken); }
而已。默认访问令牌有效期为一小时。我总是在一半的时间之后刷新它。
现在我的问题是:
我可以以任何方式改进我的代码吗?
您Startup.cs
应该是这样的(因为Map
仅适用于'/ api'路径。有关更多信息,请参见https://docs.asp.net/zh-CN/latest/fundamentals/middleware.html#run-map-and-use):
app.MapWhen(context => !context.Request.Path.Value.StartsWith("/api"), builder=>
{
app.UseCookieAuthentication(options);
...
app.UseOpenIdConnectAuthentication(oidcOptions);
....
});
app.MapWhen(context => context.Request.Path.Value.StartsWith("/api"), builder=>
{
var bearerTokenOptions = new IdentityServerAuthenticationOptions
{
AuthenticationScheme = "Bearer",
Authority = LoginServerUrl,,
RequireHttpsMetadata = false,
ScopeName = "MyApi",
AutomaticAuthenticate = true
};
context.UseIdentityServerAuthentication(bearerTokenOptions);
context.UseMvcWithDefaultRoute();
});
第二点,您的cookie过期时间为60分钟,在这种情况下,刷新令牌的生命周期为60分钟。我认为这可能是个问题。
您认为这样做有任何与安全相关的风险吗?
我没有使用刷新令牌的足够经验,所以我不能说您的实现是否安全。但是我认为(用于您的实现)刷新令牌会增加复杂性,还会增加安全风险(这只是我的观点,我不是安全专家)。我将只使用具有隐式流的长寿命访问令牌(因为简单)。
我可以在OnTicketReceived中检索访问令牌吗?
是的你可以:
OnTicketReceived = ctx =>
{
var token = ctx.Ticket.Properties.GetTokenValue("access_token");
...
}
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句