IdentityServer4 refresh_token 撤销答案

【问题标题】：IdentityServer4 refresh_token revocationIdentityServer4 refresh_token 撤销
【发布时间】：2017-06-05 17:28:00
【问题描述】：

我有一个 SPA 应用程序，它使用 IdentityServer4 ROPC 流进行身份验证，并带有来自此示例 https://github.com/robisim74/AngularSPAWebAPI 的访问和刷新令牌。每 15 分钟我更新 refresh_token 以获得一对新的刷新和访问令牌。

但是，如果我重新启动 IdentityServer4 应用程序，在重新启动之前发出的旧 refresh_tokens 将不再有效。如何解决？我怀疑我应该实现一些接口来存储发布的刷新令牌？

【问题讨论】：

标签： c# asp.net-core identityserver4

【解决方案1】：

您需要使用IPersistedGrantStore 合约来实现持久授权。这会将诸如 refresh_tokens 之类的内容存储到定义的持久性中。默认情况下，IdentityServer 4 将使用 InMemory 持久性存储，这就是为什么您在重新启动应用程序时不断丢失 refresh_token 引用的原因。

如果您要使用 refresh_tokens，那么在生产环境中必须有一个持久层。

【讨论】：