ASP.NET OAuth:解决refresh token没法刷新access token的问题
最近同事用iOS App调用Open API时遇到一个问题:在access token过时后,用refresh token刷新access token时,服务器响应"invalid_grant"错误;而在access token没有过时的状况下,能正常刷新access token。html
先查看了一下OAuth规范中的“Refreshing an Expired Access Token”流程图,以确认客户端的操做流程有没有问题。数据库
问题发生在上图中的(G)操做步骤。iOS App就是按上图的流程进行操做的——在调用Open API时,若是服务器响应access token无效,就用refresh token刷新access token,客户端的操做流程一点问题没有。服务器
因而将问题锁定在服务端。打点写日志,发现refresh token刷新access token时服务端先调用了IAuthenticationTokenProvider.ReceiveAsync(),而后调用了IOAuthAuthorizationServerProvider.GrantRefreshToken()方法。对应于咱们的实现就是CNBlogsRefreshTokenProvider.ReceiveAsync()与CNBlogsAuthorizationServerProvider.GrantRefreshToken()。async
查看ReceiveAsync()方法的实现代码:ide
public override async Task ReceiveAsync(AuthenticationTokenReceiveContext context) { var refreshToken = await _refreshTokenService.Get(context.Token); if (refreshToken != null) { context.DeserializeTicket(refreshToken.ProtectedTicket); await _refreshTokenService.Remove(context.Token); } }
从上面的代码能够得知,用refresh token刷新access token,实际就是将存储在数据库中的ProtectedTicket反序列为包含access token的ticket,而后根据这个ticket生成access token返回给客户端。而refreshToken.ProtectedTicket是在生成refresh token时由包含access token的ticket序列化生成的,refresh token没法刷新access token,问题极可能就出在它身上。ui
因而查看生成refresh token部分的代码——CNBlogsRefreshTokenProvider(继承自AuthenticationTokenProvider)的CreateAsync()方法:spa
var refreshToken = new RefreshToken() { Id = refreshTokenId, ClientId = new Guid(clientId), UserName = context.Ticket.Identity.Name IssuedUtc = DateTime.UtcNow, ExpiresUtc = DateTime.UtcNow.AddSeconds(Convert.ToDouble(refreshTokenLifeTime)), ProtectedTicket = context.SerializeTicket() }; context.Ticket.Properties.IssuedUtc = refreshToken.IssuedUtc; context.Ticket.Properties.ExpiresUtc = refreshToken.ExpiresUtc;
当时一看代码,立马恍然大悟。应该是先设置IssuedUtc与ExpiresUtc,而后再SerializeTicket();实际被写成了先SerializeTicket(),后设置IssuedUtc与ExpiresUtc。结果形成refreshToken.ProtectedTicket的过时时间不正确,从而没法刷新access token。日志
解决方法很简单,只需将context.SerializeTicket()移至设置Ticket的IssuedUtc与ExpiresUtc的代码以后:code
var refreshToken = new RefreshToken() { Id = refreshTokenId, ClientId = new Guid(clientId), UserName = context.Ticket.Identity.Name IssuedUtc = DateTime.UtcNow, ExpiresUtc = DateTime.UtcNow.AddSeconds(Convert.ToDouble(refreshTokenLifeTime)), }; context.Ticket.Properties.IssuedUtc = refreshToken.IssuedUtc; context.Ticket.Properties.ExpiresUtc = refreshToken.ExpiresUtc; refreshToken.ProtectedTicket = context.SerializeTicket();
- 1. Oauth2.0(三):Access Token 与 Refresh Token
- 2. oauth2刷新token报 Invalid refresh token
- 3. ASP.NET OWIN OAuth:遇到的2个refresh token问题
- 4. 图解OAuth 2.0协议族(二):刷新令牌 refresh token
- 5. App之登录、access token、refresh token
- 6. vue axios 刷新token 刷新jwt js刷新token http刷新token
- 7. spring security oauth2 自动刷新续签token (refresh token)
- 8. ASP.NET Core Web Api之JWT刷新Token(三)
- 9. flask刷新token
- 10. jwt refresh token
- 更多相关文章...
- • Redis乐观锁解决高并发抢红包的问题 - 红包项目实战
- • ionic 下拉刷新 - ionic 教程
- • PHP Ajax 跨域问题最佳解决方案
- • IntelliJ IDEA中SpringBoot properties文件不能自动提示问题解决
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Oauth2.0(三):Access Token 与 Refresh Token
- 2. oauth2刷新token报 Invalid refresh token
- 3. ASP.NET OWIN OAuth:遇到的2个refresh token问题
- 4. 图解OAuth 2.0协议族(二):刷新令牌 refresh token
- 5. App之登录、access token、refresh token
- 6. vue axios 刷新token 刷新jwt js刷新token http刷新token
- 7. spring security oauth2 自动刷新续签token (refresh token)
- 8. ASP.NET Core Web Api之JWT刷新Token(三)
- 9. flask刷新token
- 10. jwt refresh token