IdentityServer4 refresh_token撤銷

Question

我有SPA應用程序使用IdentityServer4 ROPC流身份驗證訪問和刷新令牌從這個例子https://github.com/robisim74/AngularSPAWebAPI。每15分鐘我會更新一次刷新和訪問令牌的refresh_token。

但是，如果我重新啓動前重新啓動IdentityServer4應用程序舊refresh_tokens不再有效。如何解決它？我懷疑我應該實現一些接口來存儲已發佈的刷新令牌？

Answer 1

您需要通過使用IPersistedGrantStore合同來實施持續贈款。這會將諸如refresh_tokens之類的東西存儲到定義的持久性中。默認情況下，IdentityServer 4將使用InMemory持久性存儲，這就是您重新啓動應用程序時繼續失去refresh_token引用的原因。

如果您要使用refresh_tokens，那麼在生產環境中爲此設置持久層是非常必要的。