IdentityServer4 refresh_token撤销

Question

我有SPA应用程序使用IdentityServer4 ROPC流身份验证访问和刷新令牌从这个例子https://github.com/robisim74/AngularSPAWebAPI。每15分钟我会更新一次刷新和访问令牌的refresh_token。

但是，如果我重新启动前重新启动IdentityServer4应用程序旧refresh_tokens不再有效。如何解决它？我怀疑我应该实现一些接口来存储已发布的刷新令牌？

Answer 1

您需要通过使用IPersistedGrantStore合同来实施持续赠款。这会将诸如refresh_tokens之类的东西存储到定义的持久性中。默认情况下，IdentityServer 4将使用InMemory持久性存储，这就是您重新启动应用程序时继续失去refresh_token引用的原因。

如果您要使用refresh_tokens，那么在生产环境中为此设置持久层是非常必要的。