使用Identity Server 4刷新同时包含视图和资源的MVC Core应用程序中的访问令牌的最佳实践

我一直在阅读（和观看视频）有关在使用带有很多ajax调用的MVC Core应用程序时如何最好地实现访问和刷新令牌的信息。我想我做对了，但只是想知道是否有更好的方法可以做到这一点。我将编辑此帖子，以便它可以为任何寻求此信息的人提供参考。

我的设置：我有一个带有很多JavaScript的MVC Core应用程序。JavaScript使用ajax调用来检索json或调用操作。

由于我不希望我的用户能够使用cookie身份验证访问我的api，因此我使用app.Map将我的应用程序分为两部分。一种是用户可以使用身份令牌访问视图的视图，另一种则需要访问令牌。我还添加了一个cookie，以保存需要刷新访问令牌的时间。

Startup.cs（我删除了不重要的部分）

  app.UseCookieAuthentication(new CookieAuthenticationOptions
  {
    AuthenticationScheme = "Cookies",
    AutomaticAuthenticate = true,
    ExpireTimeSpan = TimeSpan.FromMinutes(60)
  });

  JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

  var oidcOptions = new OpenIdConnectOptions
  {
    AuthenticationScheme = "oidc",
    SignInScheme = "Cookies",

    Authority = LoginServerUrl,
    RequireHttpsMetadata = false,
    ClientId = "MyApp",
    ClientSecret = "*****",
    ResponseType = "code id_token",
    SaveTokens = true,
    Events = new OpenIdConnectEvents()
    {
      OnTicketReceived = async notification =>
      {
        notification.Response.Cookies.Append("NextAccessTokenRefresh", DateTime.Now.AddMinutes(30).ToString());
        notification.Response.Cookies.Delete("AccessToken");
      },
    },

    TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters
    {
      NameClaimType = JwtClaimTypes.Name,
      RoleClaimType = JwtClaimTypes.Role,
    },
  };

  oidcOptions.Scope.Clear();
  oidcOptions.Scope.Add("openid");
  oidcOptions.Scope.Add("roles");
  oidcOptions.Scope.Add("offline_access");

  app.UseOpenIdConnectAuthentication(oidcOptions);

  app.Map("/api", (context) =>
  {
    var bearerTokenOptions = new IdentityServerAuthenticationOptions
    {
      AuthenticationScheme = "Bearer",
      Authority = LoginServerUrl,,
      RequireHttpsMetadata = false,
      ScopeName = "MyApi",
      AutomaticAuthenticate = true
    };

    context.UseIdentityServerAuthentication(bearerTokenOptions);
    context.UseMvcWithDefaultRoute();
  });

使用以下网址/ api / [Controller] / [Action]完成对控制器动作的所有ajax调用。

我不希望使用身份令牌访问我的api，因此我还向控制器操作添加了Authorize（ActiveAuthenticationSchemes =“ Bearer”）属性。因此，现在我的由javascript调用的控制器动作如下所示：

[HttpPost, Authorize(ActiveAuthenticationSchemes = "Bearer")]
public async Task<JsonResult> DoStuff()
{
}

当javascript需要访问api资源时，控制程序首先检索访问令牌，然后使用自定义javascript init方法将其注入到javascript中。

此C＃方法负责刷新和检索访问cookie。

public async Task<string> GetAccessTokenAsync()
{
  var accessToken = _contextAccessor.HttpContext.Request.Cookies["AccessToken"];
  var nextAccessTokenRefresh = _contextAccessor.HttpContext.Request.Cookies["NextAccessTokenRefresh"];
  if (string.IsNullOrEmpty(nextAccessTokenRefresh) || string.IsNullOrEmpty(accessToken) || DateTime.Parse(nextAccessTokenRefresh) <= DateTime.Now)
  {
    var refreshToken = await _contextAccessor.HttpContext.Authentication.GetTokenAsync("refresh_token");
    var tokenClient = new TokenClient(_appSettings.LoginServerUrl + "/connect/token", _appSettings.LoginClientId, _appSettings.LoginClientSecret);
    var response = await tokenClient.RequestRefreshTokenAsync(refreshToken);
    accessToken = response.AccessToken;

    //Set cookies for next refresh
    _contextAccessor.HttpContext.Response.Cookies.Append("NextAccessTokenRefresh", DateTime.Now.AddMinutes(30).ToString());
    _contextAccessor.HttpContext.Response.Cookies.Append("AccessToken", response.AccessToken);
  }

  return accessToken;
}

在所有$ .ajax上，我添加了以下参数：

beforeSend: function(xhr, settings) { xhr.setRequestHeader('Authorization','Bearer ' + accessToken); }

而已。默认访问令牌有效期为一小时。我总是在一半的时间之后刷新它。

现在我的问题是：

1. 我可以以任何方式改进我的代码吗？
2. 您认为这样做有任何与安全相关的风险吗？
3. 我可以在OnTicketReceived中检索访问令牌吗？