使用混合流刷新令牌

Question

我确定我错过了什么。

我有一个使用 Thinktecture Identity Server 的 MVC 应用程序和一个 SSO 站点。 MVC 应用程序使用混合流对 SSO 站点上的用户进行身份验证。 MVC 站点使用 Microsoft OpenIdConnect OWIN 客户端与 SSO 对话。我的令牌的寿命很短 - 大约 5 分钟，但我有刷新令牌，因此用户会不断地重新进行身份验证。这是一个非常有用的功能。

但是，当令牌需要刷新时，用户会通过 SSO 站点被退回，这会破坏表单帖子、ajax 调用等。这不太有用。

我可以不在服务器上进行更新，而是让用户代理来做吗？我看不出有办法做到这一点。

我也将研究滑动过期以尝试解决这个问题，尽管从安全角度来看，我一直认为滑动过期是一个糟糕的想法。

Answer 1

我错过了一些东西。我对谁负责各种活动感到困惑。

当用户的令牌过期时，应通过 SSO 站点退回用户。我现在对具有绝对时间限制的 cookie 设置了滑动到期。理想情况下，此限制应与令牌的到期相对应，但我有一个刷新令牌，因此可用于从服务器刷新令牌。

一旦信赖方收到有效响应，它负责保持用户登录，而不是 SSO 站点。一旦令牌需要刷新，就可以使用 SSO 站点。