详解.NET实现OAuth2.0四种模式(6)RefreshToken

最新推荐文章于 2024-06-25 17:31:19 发布
最新推荐文章于 2024-06-25 17:31:19 发布
阅读量1.3k 收藏 7
点赞数
分类专栏: ASP.NET 文章标签: .NET OAuth2.0 ASP.NET RefreshToken 授权码模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lweiyue/article/details/107465324
版权

我们知道,为了安全起见,AccessToken的有效时间一般是比较短的(如30分钟)。在AccessToken超出有效期之后,它就不能再用于访问资源,必须重新获得。但如果每30分钟,就要让用户登录一次,那必定会让用户感到厌烦。于是就产生了RefreshToken这个概念。

在获得AccessToken的同时,得到RefreshToken。在AccessToken过期之后,不需要请求用户重新输入账号,直接用RefreshToken获得新的AccessToken。

下面,我们在授权码模式下,加入RefreshToken的实现。

首先,我们需要一个RefreshToken提供类。其跟授权码提供类非常像,具体测试代码如下:

public class RefreshTokenProvider : AuthenticationTokenProvider
{
    private static Dictionary<string, string> tokens = new Dictionary<string, string>();

    public override void Create(AuthenticationTokenCreateContext context)
    {
        context.Ticket.Properties.IssuedUtc = DateTime.UtcNow;
        context.Ticket.Properties.ExpiresUtc = DateTime.UtcNow.AddDays(60);

        context.SetToken(Guid.NewGuid().ToString("n"));
        tokens.Add(context.Token, context.SerializeTicket());
    }

    public override void Receive(AuthenticationTokenReceiveContext context)
    {
        string token = context.Token;
        if (tokens.ContainsKey(token))
        {
            string value = tokens[token];
            tokens.Remove(token);
            context.DeserializeTicket(value);
        }
    }
}

然后,我们需要修改Startup类中的服务器配置,改为:

AllowInsecureHttp = true,//允许http而非https访问
AuthenticationMode = Microsoft.Owin.Security.AuthenticationMode.Active,//激活授权码模式
TokenEndpointPath = new PathString("/token"),//访问host/token获取AccessToken
AuthorizeEndpointPath = new PathString("/auth"),//访问host/auth获取授权码
AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(30),//AccessToken在30分钟后过期
Provider = new AuthorizationServerProvider(),//AccessToken的提供类
AuthorizationCodeProvider = new AuthorizationCodeProvider(),//授权码的提供类      
RefreshTokenProvider = new RefreshTokenProvider()//RefreshToken的提供类

其实就是增加了RefreshTokenProvider这一项配置。

在AuthorizationServerProvider类中,ValidateTokenRequest实现Token请求的验证,需要改成如下所示:

public override async Task ValidateTokenRequest(OAuthValidateTokenRequestContext context)
{
    if (context.TokenRequest.IsAuthorizationCodeGrantType)
    {
        context.Validated();
    }
    else if (context.TokenRequest.IsRefreshTokenGrantType)
    {
        context.Validated();
    }
    else
    {
        context.Rejected();
    }
}

这样的话,就同时支持了授权码模式和RefreshToken模式了。

到此为止,对RefreshToken支持的代码已经完成。

RefreshToken请求参数中要求如下:

(1)grant_type,为refresh_token。

(2)refresh_token,为获取AccessToken时得到的RefreshToken。

(3)client_id,客户端ID。

我们使用Postman进行测试。先获取授权码:

使用授权码获取AccessToken和RefreshToken:

使用RefreshToken更新AccessToken:

还是叫明
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
auth-api:OAuth2方法中的JWT实现(acccessTokenrefreshToken
04-08
身份验证API 在OAuth2方法(acccessTokenrefreshToken)中实现JWT 开发环境 Spring启动2.4.4 Spring安全 JWT库-> io.jsonwebtoken JPA H2服务器模式 项目流程 运行服务器时的默认用户插入处理(测试数据) 呼叫/ authenticate->检查ID /密信息并返回令牌信息(accessToken,refresToken) 使用发出的accessToken请求API调用 当accessToken过期时,通过调用/ re / authenticate重新设置accessTokenrefreshToken(设置先前在调用API时在标头中发布的refreshToken) 设定值 jwt: access-token-refresh-url: /re/authenticate access-token
OWIN实现OAuth 2.0 之客户端模式(Client Credential)
12-26
那么我就可以利用OWIN实现OAuth 2.0 之客户端模式的基本原理生成一个token,你会发现我这个token居然能够访问你们公司的资源服务。所以如果我们使用OWIN实现OAuth 2.0 之客户端模式,尽量保证两点: (1)增加...
Oauth2.0实现token刷新功能
康小虎的博客
07-13 1万+
1、Oauth2.0简介 Oauth2.0是一个授权协议,提供了一种解决用户资源共享问题的思路,它不是一种实现。对于java来说,我们可以利用Spring Security OAuth2来实现Oauth2.0实现的最基本的思路: 上图的名词解释: 几种授权模式授权模式基本思路: 微服务架构下的时序图: 2、刷新token (1)基本思路 首先我们要明白,在授权模式下,在网关请求获取access token的时候,接口会返回一个access token和一个refresh token,我
net Framework OAuth2.0
最新发布
u013400314的博客
06-25 322
用户将用户名和密发送给第三方应用程序,第三方应用程序直接向授权服务器请求访问令牌。
OAuth2.0refresh token
wenlei_zhouwl的专栏
02-13 4万+
转载自http://www.html-js.com/?p=1297 最近看人人网的OAuth认证,发现他是OAuth2.0,之前一直看的是新浪的OAuth,是OAuth1.0. 二者还是有很多不同的,主要的不同点在access token的获取方式. OAuth1.0的access token获取过来之后,就可以存到数据库里,然后长期使用,因为它有效期很长,通常有效期
ASP.NET WebApi 基于OAuth2.0实现Token签名认证
weixin_30840253的博客
03-24 819
一、课程介绍 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性。那么对于我们来说,如何确保数据的安全将是我们需要思考的问题。为了保护我们的WebApi数据接口不被他人非法调用,我们采用身份认证机制,常用的身份认证方式用Https基本认证(结合SSL证书),在ASP.NET WebService服务中可以通过SoapHead验证机制来实现,那么在...
oauth2.0授权协议中刷新令牌refresh token的工作原理及生命周期分析
u013905744的专栏
12-16 1万+
在学习oauth2.0协议的时候,对于刷新令牌refresh token感觉很困惑。主要是为啥需要刷新令牌,以及刷新令牌是如何工作的,技术细节是啥?比如通过refresh token可以让access token永久不过期吗? 下面就针对这两个问题进行分析。 为什么需要刷新令牌 如果access token超时时间很长,比如14条,由于第三方软件获取受保护资源都要带着access token,这样access token的攻击面就比较大。 如果access token超时时间很短,比如1个小时,那其超时之后
SpringBoot OAuth2.0 refresh_token(刷新令牌)
狮子大大
03-26 3958
SpringBoot OAuth2.0 刷新令牌 通常在 access_token 时间过期后,需要去获取新的 token 才能继续访问接口 在 使用 SpringSecurity + OAuth2.0, 可以采用 refresh_token 模式重新申请 access_token 修改 MooseAuthorizationServerConfiguration 文件 /** * Authorization Server endpoints. * * @throws Exception
详解laravel passport OAuth2.0的4种模式
10-16
**laravel passport OAuth2.0的4种模式详解** OAuth2.0是一种授权框架,用于安全地让第三方应用访问用户的数据,而无需分享其原始凭证。laravel passport 是 Laravel 框架提供的一种用于构建 API 的强大工具,它...
OAuth2.0模式实现
12-28
在服务端,基于 Owin OAuth, 针对 Resource Owner Password Credentials Grant 的授权方式,只需重载 OAuthAuthorizationServerProvider.GrantResourceOwnerCredentials() 方法即可
OAuth:.NET 5中的OAuth 2.0实现
04-03
.NET 5中,开发人员可以利用Microsoft.AspNetCore.Authentication.OAuth库来实现OAuth 2.0的功能。这个库为.NET 5应用程序提供了与OAuth 2.0服务器交互的能力,例如获取访问令牌、刷新令牌以及处理用户身份验证。 ...
ASP.NET实现QQ、微信、新浪微博OAuth2.0授权登录 <font color=red>原创</font>
10-22
总的来说,ASP.NET实现OAuth2.0授权登录涉及网络请求、URL构造、参数解析、数据库操作等多个环节,需要对OAuth协议有深入理解,并且能够灵活运用ASP.NET的Web开发技术。通过封装抽象基类和子类,可以有效地复用代...
OAuth 2.0 中的 refresh_token 和它的重要性
禅与计算机程序设计艺术
12-27 1426
1.背景介绍 OAuth 2.0 是一种授权机制,它允许第三方应用程序访问用户的资源,而无需获取用户的凭据。这种机制通常用于在网络上进行身份验证和授权。在 OAuth 2.0 中,refreshtoken 是一种特殊类型的访问令牌,用于在访问令牌过期之前重新获得新的访问令牌。在本文中,我们将讨论 refreshtoken 的重要性,以及如何在 OAuth 2.0 中实现它。 2.核心概念与联系...
OAuth2.0 - 刷新令牌
A_991128a的博客
01-12 1826
刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端,用于在当前访问令牌失效或过期时获取新的访问令牌,或者获取具有相同或更窄范围的附加访问令牌(访问令牌可能具有更短的范围)生命周期和少于资源所有者授权的权限)。颁发刷新令牌是可选的,由授权服务器决定。因为刷新令牌通常是用于请求额外的访问令牌的持久凭证,刷新令牌绑定到被它被颁发给的客户端。如果通过客户端凭证模式,建议选定其他的身份验证。的过期时间保存下来,每次调用平台方的业务。进行一下时间判断,如果过期则执行刷新。如果过期就只能让用户重新授权
图解OAuth 2.0协议族(二):刷新令牌 refresh token
yunyun1886358的专栏
11-06 1016
OAuth 2.0协议:刷新令牌 refresh token 刷新令牌refresh token用来支持客户端在得到资源拥有者的首次授权之后,在访问令牌access token失效之后,可以获取新的访问令牌,而不需要资源拥有者的再次授权。这也是TOFU(Trust On First Use)原则,既首次使用信任原则思想的体现。 response type:code grant type: authorization code token type: bearer token: access tok
SpringBootSecurity学习(20)前后端分离版之OAuth2.0刷新token
Blues的专栏
10-11 2440
刷新token 前面的例子和配置都是从头开始申请授权和令牌,现在来看一下如何根据获取令牌时,回参中的 refresh_token 来刷新令牌。现在在项目中配置的是内存模式的默认用户名密,第一步先改成数据库查询的方式,具体过程参考前面的文章即可,来看security配置类: 然后修改授权服务配置类,在 endpoints 中配置userDetailsService: 修改成数据库方式也是为了...
spring security oauth2之refresh token
崔向阳@李晓的博客
07-04 9833
oAuth2.0认证服务器生成的Access_token是有有效期限制的默认为12个小时,refresh_token默认为三十天。如果Access_token提示过期,可以根据refresh_token获取新的Access_token 下面介绍如何生成refresh_token,并根据refresh_token获取新的Access_token: authorizedGrantTypes oa...
spring security oauth2 自动刷新续签token (refresh token)
热门推荐
m0_37834471的博客
10-20 6万+
1.引言 前提:了解spring security oauth2的大致流程(对过滤器的内容有一定的了解) 主要思路: 首先用过期token访问受拦截资源 认证失败返回401的时候调用异常处理器 通过异常处理器结合refresh_token进行token的刷新 刷新成功则通过请求转发(request.getRequestDispatcher)的方式再次访问受拦截资源 2.源分析核心过滤器...
OAuth2(三)自定义刷新令牌逻辑 refresh_token
weixin_54889617的博客
12-10 4267
OAuth2自定义刷新refresh_token
.net core 实现oauth2.0服务端,含JWT
06-09
实现OAuth2.0服务端,需要遵循OAuth2.0协议,实现授权服务器和资源服务器之间的交互。以下是基本的步骤: 1.创建一个ASP.NET Core Web API项目。 2.安装IdentityServer4和Microsoft.AspNetCore.Authentication....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值