का उपयोग करते हुए एमवीसी कोर ऐप में एमवीसी कोर ऐप में एक्सेस टोकन को रीफ्रेश करने के सर्वोत्तम अभ्यास, मैं एमवीसी कोर एप्लिकेशन का उपयोग करते समय एक्सेस को सर्वोत्तम रूप से कार्यान्वित करने और टोकन रीफ्रेश करने के तरीके को पढ़ रहा हूं (वीडियो देख रहा हूं) इसमें बहुत सारे AJAX कॉल। मुझे लगता है कि मुझे यह सही मिला लेकिन सिर्फ यह जानना चाहता था कि ऐसा करने का एक बेहतर तरीका है या नहीं। मैं इस पोस्ट को संपादित करूंगा ताकि यह इस जानकारी की तलाश में किसी के लिए संदर्भ के रूप में कार्य कर सके।पहचान प्रक्रिया 4
मेरा सेटअप: मेरे पास बहुत सारी जावास्क्रिप्ट के साथ एक एमवीसी कोर एप्लिकेशन है। जावाकॉन जेसन या कॉल क्रियाओं को पुनः प्राप्त करने के लिए AJAX कॉल का उपयोग कर रहे हैं।
चूंकि मैं नहीं चाहता कि मेरे उपयोगकर्ता कुकी प्रमाणीकरण का उपयोग करके मेरे एपीआई तक पहुंच सकें, मैं ऐप का उपयोग कर रहा हूं। मैप को दो हिस्सों में विभाजित करने के लिए। एक जहां उपयोगकर्ता पहचान टोकन का उपयोग करके दृश्यों तक पहुंच सकते हैं और एक को एक्सेस टोकन की आवश्यकता होगी। मैं उस समय को पकड़ने के लिए एक कुकी भी जोड़ रहा हूं जब मुझे अपना एक्सेस टोकन रीफ्रेश करना होगा।
Startup.cs नियंत्रक को कार्रवाई के लिए इस यूआरएल/API/का उपयोग किया जाता है
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationScheme = "Cookies",
AutomaticAuthenticate = true,
ExpireTimeSpan = TimeSpan.FromMinutes(60)
});
JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
var oidcOptions = new OpenIdConnectOptions
{
AuthenticationScheme = "oidc",
SignInScheme = "Cookies",
Authority = LoginServerUrl,
RequireHttpsMetadata = false,
ClientId = "MyApp",
ClientSecret = "*****",
ResponseType = "code id_token",
SaveTokens = true,
Events = new OpenIdConnectEvents()
{
OnTicketReceived = async notification =>
{
notification.Response.Cookies.Append("NextAccessTokenRefresh", DateTime.Now.AddMinutes(30).ToString());
notification.Response.Cookies.Delete("AccessToken");
},
},
TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters
{
NameClaimType = JwtClaimTypes.Name,
RoleClaimType = JwtClaimTypes.Role,
},
};
oidcOptions.Scope.Clear();
oidcOptions.Scope.Add("openid");
oidcOptions.Scope.Add("roles");
oidcOptions.Scope.Add("offline_access");
app.UseOpenIdConnectAuthentication(oidcOptions);
app.Map("/api", (context) =>
{
var bearerTokenOptions = new IdentityServerAuthenticationOptions
{
AuthenticationScheme = "Bearer",
Authority = LoginServerUrl,,
RequireHttpsMetadata = false,
ScopeName = "MyApi",
AutomaticAuthenticate = true
};
context.UseIdentityServerAuthentication(bearerTokenOptions);
context.UseMvcWithDefaultRoute();
});
सभी ajax कॉल (मैं भागों कि importent नहीं है हटाया) [नियंत्रक]/[लड़ाई]।
मैं नहीं चाहता कि मेरा एपीआई पहचान टोकन का उपयोग करके सुलभ हो, इसलिए मैं नियंत्रक कार्रवाई में प्राधिकरण (ActiveAuthenticationSchemes = "Bearer") विशेषता भी जोड़ता हूं। तो अब मेरी नियंत्रक क्रियाएँ जावास्क्रिप्ट से बुलाया जा रहा है इस तरह दिखता है:
[HttpPost, Authorize(ActiveAuthenticationSchemes = "Bearer")]
public async Task<JsonResult> DoStuff()
{
}
जब जावास्क्रिप्ट एक एपीआई संसाधन का उपयोग करने की जरूरत है एक, controler पहले पहुँच टोकन retrives और एक कस्टम जावास्क्रिप्ट init का उपयोग कर जावास्क्रिप्ट में injects तरीका।
यह सी # विधि एक्सेस कुकी को रीफ्रेश करने और पुनर्प्राप्त करने के लिए ज़िम्मेदार है।
beforeSend: function(xhr, settings) { xhr.setRequestHeader('Authorization','Bearer ' + accessToken); }
Thats यह:
public async Task<string> GetAccessTokenAsync()
{
var accessToken = _contextAccessor.HttpContext.Request.Cookies["AccessToken"];
var nextAccessTokenRefresh = _contextAccessor.HttpContext.Request.Cookies["NextAccessTokenRefresh"];
if (string.IsNullOrEmpty(nextAccessTokenRefresh) || string.IsNullOrEmpty(accessToken) || DateTime.Parse(nextAccessTokenRefresh) <= DateTime.Now)
{
var refreshToken = await _contextAccessor.HttpContext.Authentication.GetTokenAsync("refresh_token");
var tokenClient = new TokenClient(_appSettings.LoginServerUrl + "/connect/token", _appSettings.LoginClientId, _appSettings.LoginClientSecret);
var response = await tokenClient.RequestRefreshTokenAsync(refreshToken);
accessToken = response.AccessToken;
//Set cookies for next refresh
_contextAccessor.HttpContext.Response.Cookies.Append("NextAccessTokenRefresh", DateTime.Now.AddMinutes(30).ToString());
_contextAccessor.HttpContext.Response.Cookies.Append("AccessToken", response.AccessToken);
}
return accessToken;
}
। डिफ़ॉल्ट पहुंच टोकन समाप्ति एक घंटा है। मैं उस समय आधे के बाद हमेशा इसे ताज़ा करता हूं।
अब अपने सवालों के:
- मैं किसी भी तरह से मेरी कोड में सुधार कर सकते हैं?
- क्या आप इस तरह से कोई सुरक्षा संबंधी जोखिम देख रहे हैं?
- क्या मैं ऑनटिकेट में एक्सेस टोकन पुनर्प्राप्त कर सकता हूं?
मैं के रूप में विषय से हटकर है क्योंकि यह एक कोड की समीक्षा के लिए पूछ रहा है इस सवाल के बंद करने के लिए मतदान कर रहा हूँ; कोड समीक्षा ऑफ-विषय हैं। आपको http://codereview.stackexchange.com/ –
पर पूछने की आवश्यकता है, मुझे पता है कि यह थोड़ा सा विषय है, लेकिन आईडी 4 का उपयोग करने वाले बहुत से लोग इस जानकारी की तलाश में हैं। मैं कई अलग-अलग मंचों पर एक ही प्रश्न देख रहा हूं, इसलिए मैंने सोचा कि मैं उन सभी का जवाब देने के लिए यहां एक पोस्ट करूँगा। मैं एक ब्लॉग पोस्ट कर सकता था, लेकिन देव यहां जानकारी की तलाश कर रहे थे। क्या ऐसा कोई स्थान नहीं होना चाहिए जहां आपको इस तरह की जानकारी मिलती है? –
फिर आपको इसे एक और तरीके से वाक्यांश देने की कोशिश करनी चाहिए ताकि आप 1) कोड समीक्षा की मांग न करें, 2) सर्वोत्तम प्रथाओं के लिए नहीं पूछना (जो आमतौर पर केवल 'मुख्य रूप से राय-आधारित' होता है)। –