如何解决您是否应该序列化调用以刷新 oauth 令牌
对于我的场景,我使用 ASP.NET Core 5 和 AzureAD(或 IdentityServer4 进行测试),但这可能会发生变化,因此请寻找任何一般性和特定性指南。
注意:我在 Will an old refresh token still be valid if a new refresh token get issued? 看到了答案,但不清楚这是标准行为还是特定于 Google 的行为(问题是关于此的)。
当可能发生并发请求时,处理刷新令牌的正确模式是什么?
在我的代码中,我在验证时捕获刷新令牌和到期时间,即
options.Events = new OpenIdConnectEvents
{
// This is called during sign-in after the access token and refresh token are received
OnTokenResponseReceived = context =>
{
// Extract just the refresh token and put it in the cookie. (Note: This is ~64 bytes on IdentityServer4,but over 1KB in AzureAD)
string token = context.TokenEndpointResponse.RefreshToken;
string expires = context.TokenEndpointResponse.ExpiresIn; // e.g. "3600"
//...save the values in the ticket/cookie...
稍后在 OnValidatePrincipal 中,我正在检查令牌是否已过期,如果已过期,则尝试更新它,例如
var pairs = new Dictionary<string,string>() {
{ "client_id",oidcOptions.ClientId },{ "client_secret",oidcOptions.ClientSecret },{ "grant_type","refresh_token" },{ "refresh_token",refresh_token }
};
var result = await httpClient.PostAsync(oidcOptions.Authority + "/oauth2/token",new FormUrlEncodedContent(pairs));
// ... If successful,update the ticket with the new values..
现在假设令牌已过期,并且浏览器恰好同时发送了 5 个新的 HTTP 请求(例如在页面上加载一堆图像)。如果服务器尝试同时处理所有这些请求,它将尝试同时兑换相同的 refresh_token。
https://docs.microsoft.com/en-us/azure/active-directory-b2c/tokens-overview#token-types 处的页面指出:
保存新的刷新令牌。它会替换您之前在请求中使用的刷新令牌。
那么旧的刷新令牌一旦使用就不再有效了吗?这意味着第一个请求成功并使旧的刷新令牌无效,并且所有其他正在执行的请求都将失败(因为刷新令牌将无法在已使用的情况下进行兑换)。
如果是这样,我想使用刷新令牌的正确逻辑可能会非常复杂。 (如果不是,当局是否希望维护有效刷新令牌的列表,或允许“当前”和“新”令牌在一段时间内在有效期内重叠?)
=== 更新 ===
作为额外的信息,我只是对两个提供程序进行了测试,但只是添加了额外的几行代码来进行两次相同的调用以刷新令牌,(通过步进调试器有轻微的延迟)。
var result = await httpClient.PostAsync(oidcOptions.Authority + oidcOptions.TokenEndpoint,new FormUrlEncodedContent(pairs));
if (runtwice)
{
var result2 = await httpClient.PostAsync(oidcOptions.Authority + oidcOptions.TokenEndpoint,new FormUrlEncodedContent(pairs));
var response1_body = await result.Content.ReadAsStringAsync();
var response2_body = await result2.Content.ReadAsStringAsync();
Trace.WriteLine(response1_body);
Trace.WriteLine(response2_body);
}
使用 AzureAD 确实工作正常,并为我提供了两个单独的令牌用于具有相同刷新令牌的调用:
// First call
{
"token_type": "Bearer","expires_in": "3599","ext_expires_in": "3599","expires_on": "1619227041","access_token": "PAQABA...XeZLgIAA","refresh_token": "0.ATU...Bw_yB09Be8"
}
// Second call
{
"token_type": "Bearer","expires_on": "1619227046","access_token": "PAQABA...fLyZQIAA","refresh_token": "0.ATU...K8y7zOm1CQ"
}
使用 IdentityServer4,它拒绝了使用相同刷新令牌发出的第二个请求
// First call
{
"id_token":"eyJhbG...","access_token":"eyJhbGciOi...","expires_in":3600,"token_type":"Bearer","refresh_token":"6D141...","scope":"openid profile email offline_access"
}
// Second call
{"error":"invalid_grant"}
我仍然不确定哪个是预期行为,或者它是否是实现定义的(或可配置的)。
(注意:对于 IdentityServer4,它似乎是可配置的:http://docs.identityserver.io/en/latest/topics/refresh_tokens.html#customizing-refresh-token-behavior)
解决方法
最佳做法是进行配置,以便您只接受刷新令牌的一次性使用。因此,如果您使用它两次,您将被注销。每次使用刷新令牌时,您都会获得一个新令牌。
为什么?这是一个安全预防措施,所以如果刷新令牌被盗,黑客使用刷新令牌,那么下次使用刷新令牌时,IdentityServer 会注意到。
您需要注意不要在您的客户端中出现任何竞争条件,以便您不小心使用两次刷新令牌。如果您使用 IdentityModel 库,它可以为您处理此问题。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。