适用于iOS客户端的Azure Active Directory刷新令牌

Question

我从门户网站下载了QuickStart的标准iOS应用，如下所示：

它是一个非常基本的iOS应用程序，可与Azure后端进行通信，您可以在其中推送和提取数据。

登录，注销

如果要在门户中打开认证，则需要登录。您需要这样做：

[client loginWithProvider:@"windowsazureactivedirectory"
                   controller:controller
                     animated:YES
                   completion:^(MSUser *user, NSError *error) {
          // save data into your keychain
          // invoke various custom APIs
          // be able to pull and push data to your Easy Table
}];

注销也很简单：

[client logoutWithCompletion:^(NSError * _Nullable error) {

    if(!error) {
        [self clearCredentials];
        complete(nil);
    } else {
        DDLogError(@"%@", [error debugDescription]);
        complete(error);
    }

}];

刷新令牌

我的问题是令牌。 我了解使用Active Directory时，它们给您的令牌仅持续1个小时。 如果要获得刷新令牌，则需要在14天内使用它。 如果您确实在14天之内使用它，那将是长达90天的有效期。

因此，我等待了一个小时，当我尝试使用客户端提取数据或调用API时，会出现401错误：

Error Domain=com.Microsoft.MicrosoftAzureMobile.ErrorDomain Code=-1301 "The server returned an error." UserInfo={com.Microsoft.MicrosoftAzureMobile.ErrorResponseKey= { URL: https://xxxx-xxxxxx.azurewebsites.net/api/getUserProfileData } { status code: 401, headers {
        "Content-Length" = 0;
        Date = "Tue, 25 Oct 2016 09:18:57 GMT";
        Server = "Microsoft-IIS/8.0";
        "Set-Cookie" = "ARRAffinity=743d3a9e04f3c081f27c2f2c3af95d099f93dc60f14553bd4423b0abc62cfd33;Path=/;Domain=xxxx-xxxxxx.azurewebsites.net";
        "Www-Authenticate" = "Bearer realm=\"xxxx-xxxxxx.azurewebsites.net\"";
        "X-Powered-By" = "ASP.NET";
    } }, NSLocalizedDescription=The server returned an error., com.Microsoft.MicrosoftAzureMobile.ErrorRequestKey= { URL: https://xxxx-xxxxxx.azurewebsites.net/api/getUserProfileData }}

客户端点击的自定义节点脚本的日志给出了401.71未经授权的错误：

2016-10-25T09:18:55  PID[35372] Warning     JWT validation failed: IDX10223: Lifetime validation failed. The token is expired.
    ValidTo: '10/25/2016 09:12:31'
    Current time: '10/25/2016 09:18:55'..
    2016-10-25T09:18:55  PID[35372] Information Sending response: 401.71 Unauthorized

如果我要下拉表格以获取数据：

com.Microsoft.MicrosoftAzureMobile.ErrorRequestKey= { URL: https://xxx-xxxxx.azurewebsites.net/tables/TodoItem?$skip=0&$filter=(updatedAt%20ge%20datetimeoffset'2016-10-20T02%3A33%3A25.607Z')&$orderby=updatedAt%20asc&__includeDeleted=true&$top=50 }}
     code - -1301
     domain - com.Microsoft.MicrosoftAzureMobile.ErrorDomain
    userInfo - {
        NSLocalizedDescription = "The server returned an error.";
        "com.Microsoft.MicrosoftAzureMobile.ErrorRequestKey" = " { URL: https://xxxx-xxxxxx.azurewebsites.net/tables/TodoItem?$skip=0&$filter=(updatedAt%20ge%20datetimeoffset'2016-10-20T02%3A33%3A25.607Z')&$orderby=updatedAt%20asc&__includeDeleted=true&$top=50 }";

Microsoft Azure在此处提供了有关刷新令牌的小文章： https : //azure.microsoft.com/zh-cn/blog/mobile-apps-easy-authentication-refresh-token-support/

我会使用refreshUserWithCompletion：方法，但是它一直给我403错误。

因此，如果有人成功在iOS应用上刷新了令牌，请发表评论。

谢谢！

更新：刷新工作，令牌仍然会在1小时内过期

链接之后，我的refreshUserWithCompletion方法起作用，并返回带有令牌的有效MSUser对象。 但是 ，问题在于此令牌仍然只能使用1个小时。 我在下面粘贴我的刷新令牌代码。 请提出建议，谢谢！

if(!client.currentUser) {

    [client loginWithProvider:@"windowsazureactivedirectory"
                   controller:controller
                     animated:YES
                   completion:^(MSUser * user, NSError *error) {

        DDLogInfo(@"INITIAL TOKEN, userId: %@, token: %@", user.userId, user.mobileServiceAuthenticationToken);

        if(!error && user) {

            [client refreshUserWithCompletion:^(MSUser * _Nullable user, NSError * _Nullable error) {
                // user object now has new token for us to use. 
                // I'm assuming this is the refresh token.

                [self saveUserIntoKeyChain: user];
                // I can just load the userId and token from the keychain for future uses, and they all work. 
                // The only problem is that this token is only good for 1 hour.

            }];
        }
    }];
}

Answer 1

AAD需要进行刷新配置。 看到我关于这个主题的博客： https : //shellmonger.com/2016/04/13/30-days-of-zumo-v2-azure-mobile-apps-day-7-refresh-tokens/

如果您尚未配置刷新，则该刷新不可用。 一旦配置好刷新，然后在下次登录时，您将获得可以重新使用的刷新令牌。