承載令牌授權

Question

我在Identity Server 3和承載令牌身份驗證方面遇到問題。

基本上，我可以使用過期的訪問令牌來調用Web API方法，並且Web API會對用戶進行身份驗證並返回數據。

我已將我的客戶端設置為具有360秒的訪問令牌生存期，這確實是我檢查索賠時的情況。

如何確保無法使用過期的訪問令牌調用We​​b API。 我是否需要在IdentityServerBearerTokenAuthenticationOptions進行設置？

謝謝。

Answer 1

當請求到來時，我們要做的第一件事就是檢查身份是否已通過身份驗證，並且身份驗證類型為“承載”。

    private static bool RequestIsAuthenticated(HttpActionContext actionContext)
    {
        return (actionContext.RequestContext.Principal.Identity.AuthenticationType == "Bearer" && actionContext.RequestContext.Principal.Identity.IsAuthenticated);
    }

如果返回false，則返回HttpStatusCode.Unauthorized。