IdentityServer4 访问令牌更新答案

【问题标题】：IdentityServer4 Access token updatingIdentityServer4 访问令牌更新
【发布时间】：2018-09-23 19:14:33
【问题描述】：

上周我正在尝试配置 IdentityServer4 以获取自动更新的访问令牌。

我有一个 API：

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
            .AddIdentityServerAuthentication(options =>
            {
                options.Authority = "http://localhost:5100";
                options.RequireHttpsMetadata = false;
                options.ApiName = "api1";  
            });

我的 MVC 客户端配置：

JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();

        services.AddAuthentication(options =>
            {
                options.DefaultScheme = "Cookies";
                options.DefaultChallengeScheme = "oidc";
            })
            .AddCookie("Cookies")
            .AddOpenIdConnect("oidc", options =>
            {
                options.SignInScheme = "Cookies";

                options.Authority = "http://localhost:5100";
                options.RequireHttpsMetadata = false;

                options.ClientId = "mvc";
                options.ClientSecret = "secret";
                options.ResponseType = "code id_token";

                options.SaveTokens = true;
                options.GetClaimsFromUserInfoEndpoint = true;

                options.Scope.Add("api1");
                options.Scope.Add("offline_access");
            });

以及 IdentityServer 的客户端配置：

return new List<Client>
        {
            new Client
            {
                ClientId = "mvc",
                ClientName = "My mvc",
                AllowedGrantTypes = GrantTypes.Hybrid,

                RequireConsent = false,
                AccessTokenLifetime = 10,

                ClientSecrets =
                {
                    new Secret("secret".Sha256())
                },

                RedirectUris           = { "http://localhost:5102/signin-oidc" },
                PostLogoutRedirectUris = { "http://localhost:5102/signout-callback-oidc" },

                AllowedScopes =
                {
                    IdentityServerConstants.StandardScopes.OpenId,
                    IdentityServerConstants.StandardScopes.Profile,
                    IdentityServerConstants.StandardScopes.OfflineAccess,
                    "api1"
                },
                AllowOfflineAccess = true
            }

        };

在客户端，我使用 AJAX 查询调用 API 来获取/发布/放置/删除数据。我将访问令牌添加到请求中并获得结果。

private async getAuthenticationHeader(): Promise<any> {
    return axios.get('/token').then((response: any) => {
        return { headers: { Authorization: `Bearer ${response.data}` } };
    });
}

async getAsync<T>(url: string): Promise<T> {
    return this.httpClient
        .get(url, await this.getAuthenticationHeader())
        .then((response: any) => response.data as T)
        .catch((err: Error) => {
            console.error(err);
            throw err;
        });
}

访问令牌由MVC客户端方法提供：

[HttpGet("token")]
public async Task<string> GetAccessTokenAsync()
{
    //todo DoronkinDY: Cache and clear when token expired
    return await HttpContext.GetTokenAsync("access_token");
}

它工作正常。访问令牌过期后（在我的情况下，由于倾斜，它发生在 10 秒和 5 分钟后）我在客户端收到 401，所以如果有机会在访问令牌过期时自动更新访问令牌，那就太好了。

根据我认为的文档，可以通过将 AllowOfflineAccess 设置为 true 并添加合适的范围“offline_access”来实现。

也许我不了解访问和刷新令牌使用的正确流程。我可以自动完成还是不可能？我想，我们可以在查询中使用刷新令牌，但我不明白如何。

我已经阅读了很多 SO 答案和 github 问题，但我仍然感到困惑。你能帮我弄清楚吗？

【问题讨论】：

“我已经阅读了很多这样的答案” 也许你可以链接到其中的一些，以避免任何人将其标记为重复，如果他们没有帮不了你。 ;)
感谢您对 SO 问题的通知，我找到了合适的：stackoverflow.com/questions/44175115/…
我已经实现了第二种方法。我的解决方案包括检查访问令牌的过期时间，如果不到 1 分钟 - 更新访问令牌。

标签： access-token identityserver4 refresh-token

【解决方案1】：

在 cmets 进行调查和沟通后，我找到了答案。在每次 API 调用之前，我都会获得过期时间并根据结果更新 access_token 或返回现有：

[HttpGet("config/accesstoken")]
public async Task<string> GetOrUpdateAccessTokenAsync()
{
    var accessToken = await HttpContext.GetTokenAsync("access_token");
    var expiredDate = DateTime.Parse(await HttpContext.GetTokenAsync("expires_at"), null, DateTimeStyles.RoundtripKind);

    if (!((expiredDate - DateTime.Now).TotalMinutes < 1))
    {
        return accessToken;
    }

    lock (LockObject)
    {
        if (_expiredAt.HasValue && !((_expiredAt.Value - DateTime.Now).TotalMinutes < 1))
        {
            return accessToken;
        }

        var response = DiscoveryClient.GetAsync(_identitySettings.Authority).Result;
        if (response.IsError)
        {
            throw new Exception(response.Error);
        }

        var tokenClient = new TokenClient(response.TokenEndpoint, _identitySettings.Id, _identitySettings.Secret);
        var refreshToken = HttpContext.GetTokenAsync("refresh_token").Result;

        var tokenResult = tokenClient.RequestRefreshTokenAsync(refreshToken).Result;
        if (tokenResult.IsError)
        {
            throw new Exception();
        }

        accessToken = tokenResult.AccessToken;
        var idToken = HttpContext.GetTokenAsync("id_token").Result;

        var tokens = new List<AuthenticationToken>
        {
            new AuthenticationToken
            {
                Name = OpenIdConnectParameterNames.IdToken,
                Value = idToken
            },
            new AuthenticationToken
            {
                Name = OpenIdConnectParameterNames.AccessToken,
                Value = accessToken
            },
            new AuthenticationToken
            {
                Name = OpenIdConnectParameterNames.RefreshToken,
                Value = tokenResult.RefreshToken
            }
        };

        var expiredAt = DateTime.UtcNow.AddSeconds(tokenResult.ExpiresIn);
        tokens.Add(new AuthenticationToken
        {
            Name = "expires_at",
            Value = expiredAt.ToString("o", CultureInfo.InvariantCulture)
        });

        var info = HttpContext.AuthenticateAsync(CookieAuthenticationDefaults.AuthenticationScheme).Result;
        info.Properties.StoreTokens(tokens);
            HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, info.Principal, info.Properties).Wait();

            _expiredAt = expiredAt.ToLocalTime();
        }

        return accessToken;                                                 
    }
}

我调用这个方法来获取 access_token 并将 int 添加到 API 调用头中：

private async getAuthenticationHeader(): Promise<any> {
    return axios.get('config/accesstoken').then((response: any) => {
        return { headers: { Authorization: `Bearer ${response.data}` } };
    });
}

async getAsync<T>(url: string): Promise<T> {
    return this.axios
        .get(url, await this.getAuthenticationHeader())
        .then((response: any) => response.data as T)
        .catch((err: Error) => {
            console.error(err);
            throw err;
        });
}

实施了双重检查锁定以防止同时异步 API 调用尝试同时更改 access_token。您可以选择将您的 access_token 存入静态变量或缓存中，这取决于您。

如果您有任何建议或替代方案，欢迎讨论。希望它可以帮助某人。

【讨论】：

【解决方案2】：

有两种方法：

客户端 - 使用 oidc-client-js 之类的库在客户端处理令牌的身份验证和获取。它有一个功能，允许通过prompt=none 在后台调用authorize 端点自动更新令牌。

刷新令牌 - 将其存储在您现有的 cookie 中，然后根据需要使用它来请求新的访问令牌。在这种模式下，执行 AJAX 调用的客户端代码需要注意令牌错误并自动从服务器请求新令牌，GetAccessTokenAsync() 可以使用刷新令牌来获取新的访问令牌。

【讨论】：

我已经尝试过oidc-client通过mgr.getUser方法请求用户。它不起作用，可能是因为我没有调用 mgr.signIn 方法。我只是将 [Authorize] 属性添加到返回我的视图的操作中。我会用你建议的设置再调查一次。
如果我使用刷新令牌，我需要知道访问令牌的过期时间，以避免对 API 的所有调用向 IS4 发出不必要的请求。我的意思是您应该知道何时需要更新访问令牌。您能建议实施这种方法的好方法吗？
要使用 oidc-client-js 客户端库，您需要配置 IDP 以使用该客户端并通过该库执行登录过程。这是应用程序架构的重大转变，因此目前可能不是最适合您的方法。关于刷新令牌方法 - 您可以在 API 调用第一次失败时更新令牌（即查找401 状态代码和任何其他标头，如WWW-Authenticate）。或者，您可以从访问令牌中的 exp 声明中获取令牌的到期时间，并在每次 API 调用之前检查这一点。
我在每次 API 调用之前获得过期时间，并根据结果更新访问令牌或只返回现有的令牌。对于我的架构来说，这似乎是更好的解决方案。我将添加这个问题的答案。谢谢！
别担心，请随意给这个答案一个赞成票；）