使用API .net核心进行身份验证
使用API .net核心进行身份验证
提问于 2016-11-05 02:33:29
我有以下设置。使用身份和令牌授权的Web API,包含整个用户管理,当然还有一些额外的API调用。
此外,我正在构建一个FE来再次使用.net核心的应用程序接口。我有我的登录表和post到FE,它使用RestSharp来做一个应用程序接口请求,给出我从表单获得的凭据。并且我接收一些用户数据和身份Cookie/令牌。我将cookie/token设置为响应,现在我的FE可以使用它来执行其他API调用,例如ajax。
但我的问题是,我如何知道他在X分钟后仍在登录?如果Cookie/token过期,API调用将被拒绝,但我的FE-BE如何知道它们不再有效?我是否要检查每个请求的到期日期?
我问这个主要是为了挑战我构建系统的方式,以避免任何巨大的安全缺陷。
Stack Overflow用户
发布于 2016-11-05 07:56:49
如果Cookie/token过期,应用程序接口调用将被拒绝,但我的FE-BE如何知道它们不再有效?我是否要检查每个请求的到期日期?
要确定授权访问是否已过期,请检查optionally comes with an OpenID Connect implicit flow response.的expires_in时间范围。
access_tokentoken_typeid_tokenstateexpires_in可选。访问令牌自生成响应以来的过期时间。
由于access_token对客户端通常是不透明的,因此确定访问权限是否已过期的唯一另一种方法是询问access_token的颁发者。
但我的问题是,我如何知道他在X分钟后仍在登录?
要确定您的用户是否仍在登录,请使用id_token而不是access_token。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/40429647
复制相关文章
相似问题
腾讯云开发者
