0

我在“刷新令牌”过期后撤销它时遇到问题。我有一个标准表“OpenIddict Tokens”,其中 openiddict 存储令牌。在我配置 OpenIddict 的 Startup 类中,我设置了:

.SetRefreshTokenLifetime(TimeSpan.FromSeconds(1)) // It is just for check revocation of token

收到令牌后,/connect/token我立即尝试刷新我的令牌。我收到“指定的刷新令牌不再有效”错误,我注意到在数据库中仍然有关于过期刷新令牌的注释。

它应该留在那里还是应该从数据库中删除?

4

1 回答 1

0

只能access token使用 刷新refresh token。在实践中,刷新令牌是长期存在的,因为它代表了资源所有者授予客户端的授权。过期/列入黑名单的刷新令牌意味着客户端访问被撤销。

换句话说,如果客户端的刷新令牌过期,它必须再次进行身份验证并接收一对新的访问/刷新令牌来访问资源。

于 2017-09-01T16:38:14.827 回答