如何测试我的令牌是否使用 IdentityServer4 刷新？

Question

我用 IdentityServer4 创建了一个令牌我复制了这个 example 我只是修改了这个

在 IdentityServer -> 配置

public static IEnumerable<Client> GetClients()

{
    return new List<Client>
    {
        new Client
        {
            ClientId = "client",
            AllowedGrantTypes = GrantTypes.ClientCredentials,
            ClientSecrets =
            {
                new Secret("secret".Sha256())
            },
            AllowedScopes = { "tbtsmth" },
            AccessTokenLifetime = 10,
            IdentityTokenLifetime = 10 

        }
    };
}

我的令牌应该在 10 秒后过期，每 10 秒我有一个刷新令牌，但我不知道如何测试它。我做这样的事情：

var tokenHandler = new JwtSecurityTokenHandler();
var jwtSecurityToken = tokenHandler.ReadJwtToken(tokenResponse.AccessToken);

Thread.Sleep(10000);

if (jwtSecurityToken.ValidTo < DateTime.UtcNow)
    Console.WriteLine("expired");
else
    Console.WriteLine("not expired");

它返回我已过期我认为它应该返回我未过期，因为它将被刷新。

Answer 1

client credentials flow 中没有刷新令牌。来自documentation：

以下流程支持刷新令牌：授权 代码、混合和资源所有者密码凭证流。

没有用户参与，因此不需要刷新令牌。您只需请求一个新令牌。

---

那么什么时候可以使用刷新令牌？当在用户流中需要访问令牌时，例如当您有一个不使用 cookie 或需要访问 api 的客户端时。

Jwt 访问令牌的问题是令牌过期。过期后，需要用户交互来请求新的访问令牌。由于这不是良好的用户体验，因此客户端可以使用刷新令牌来请求新的访问令牌。

刷新令牌与 jwt 访问令牌不同。刷新令牌不必是 Jwt 令牌，它保留在服务器端，并且比访问令牌具有（远）更长的生命周期（过期），并且可以撤销。撤销刷新令牌意味着无法再使用刷新令牌。

将刷新令牌视为允许客户端请求新访问令牌的某种密钥。

刷新令牌永远不会自动，因此您必须在客户端中构建逻辑来刷新令牌。下面是an example，介绍如何为允许的流刷新令牌。

流程可能是这样的，来自我的answer here：

1. 用户登录，收到一个 JWT 访问令牌（5 分钟）和刷新令牌 1 代码（48 小时）。刷新令牌 1 保存在服务器上。
2. 五分钟后：访问令牌过期
3. 使用刷新令牌 1 请求新的访问令牌。
4. 用户收到一个新的访问令牌（5 分钟）和刷新令牌 2 代码（48 小时）。令牌 1 从内存中移除，令牌 2 被添加到内存中。
5. 这会持续几个小时。
6. 用户两天没有使用应用程序
7. 50 小时后：因为两个令牌都已过期，用户必须再次登录。重置流程。