最近同事用iOS App调用Open API时遇到一个问题:在access token过期后,用refresh token刷新access token时,服务器响应"invalid_grant"错误;而在access token没有过期的情况下,能正常刷新access token。

先查看了一下OAuth规范中的“Refreshing an Expired Access Token”流程图,以确认客户端的操作流程有没有问题。

问题发生在上图中的(G)操作步骤。iOS App就是按上图的流程进行操作的——在调用Open API时,如果服务器响应access token无效,就用refresh token刷新access token,客户端的操作流程一点问题没有。

于是将问题锁定在服务端。打点写日志,发现refresh token刷新access token时服务端先调用了IAuthenticationTokenProvider.ReceiveAsync(),然后调用了IOAuthAuthorizationServerProvider.GrantRefreshToken()方法。对应于我们的实现就是CNBlogsRefreshTokenProvider.ReceiveAsync()与CNBlogsAuthorizationServerProvider.GrantRefreshToken()。

查看ReceiveAsync()方法的实现代码:

public override async Task ReceiveAsync(AuthenticationTokenReceiveContext context)
{var refreshToken = await _refreshTokenService.Get(context.Token);if (refreshToken != null){context.DeserializeTicket(refreshToken.ProtectedTicket);                await _refreshTokenService.Remove(context.Token);}
}

从上面的代码可以得知,用refresh token刷新access token,实际就是将存储在数据库中的ProtectedTicket反序列为包含access token的ticket,然后根据这个ticket生成access token返回给客户端。而refreshToken.ProtectedTicket是在生成refresh token时由包含access token的ticket序列化生成的,refresh token无法刷新access token,问题很可能就出在它身上。

于是查看生成refresh token部分的代码——CNBlogsRefreshTokenProvider(继承自AuthenticationTokenProvider)的CreateAsync()方法:

var refreshToken = new RefreshToken()
{Id = refreshTokenId,ClientId = new Guid(clientId),UserName = context.Ticket.Identity.NameIssuedUtc = DateTime.UtcNow,ExpiresUtc = DateTime.UtcNow.AddSeconds(Convert.ToDouble(refreshTokenLifeTime)),ProtectedTicket = context.SerializeTicket()
};context.Ticket.Properties.IssuedUtc = refreshToken.IssuedUtc;
context.Ticket.Properties.ExpiresUtc = refreshToken.ExpiresUtc;

当时一看代码,立马恍然大悟。应该是先设置IssuedUtc与ExpiresUtc,然后再SerializeTicket();实际被写成了先SerializeTicket(),后设置IssuedUtc与ExpiresUtc。结果造成refreshToken.ProtectedTicket的过期时间不正确,从而无法刷新access token。

解决方法很简单,只需将context.SerializeTicket()移至设置Ticket的IssuedUtc与ExpiresUtc的代码之后:

var refreshToken = new RefreshToken()
{Id = refreshTokenId,ClientId = new Guid(clientId),UserName = context.Ticket.Identity.NameIssuedUtc = DateTime.UtcNow,ExpiresUtc = DateTime.UtcNow.AddSeconds(Convert.ToDouble(refreshTokenLifeTime)),};
context.Ticket.Properties.IssuedUtc = refreshToken.IssuedUtc;
context.Ticket.Properties.ExpiresUtc = refreshToken.ExpiresUtc;
refreshToken.ProtectedTicket = context.SerializeTicket();

转载于:https://www.cnblogs.com/dudu/p/4721797.html

ASP.NET OAuth:解决refresh token无法刷新access token的问题相关推荐

  1. 解决Incorrect username or password (access token)问题

    解决Incorrect username or password (access token)问题 今天在上传文件到gitee时出了一个错误Incorrect username or password ...

  2. 凭据管理器解决Incorrect username or password ( access token )

    提交代码Incorrect username or password ( access token ) 电脑管理器内进行修改 直接在[控制面板]搜索[凭据管理器] [windows凭据]–> 普 ...

  3. 聊聊Hadoop安全认证体系:Delegation Token和Block Access Token

    前言 本文继续上一篇Hadoop安全认证方面的内容主题,来简单聊聊Hadoop内部的其它认证体系:Delegation Token(授权令牌认证)和Block Access Token(块访问认证). ...

  4. 彻底解决spring security oauth2 自动续签token问题

    最近项目中引入oauth2框架,发现token存在固定30分钟失效问题:而用户在实际使用过程中,如果固定30分钟就要登出,重新登录方能使用,体验度极差:需要后端能够提供token续签的功能: 网上也搜 ...

  5. 彻底解决spring security oauth2 自动续签token问题(升级版)

    最近项目中引入oauth2框架,发现token存在固定30分钟失效问题:而用户在实际使用过程中,如果固定30分钟就要登出,重新登录方能使用,体验度极差:需要后端能够提供token续签的功能: 网上也搜 ...

  6. Jwt Token 的刷新机制设计

    Jwt Token 的刷新机制设计 Intro 前面的文章我们介绍了如何实现一个简单的 Jwt Server,可以实现一个简单 Jwt 服务,但是使用 Jwt token 会有一个缺点就是 token ...

  7. Access Token 与 Refresh Token【转载哒科普啊】

    Access Token 与 Refresh Token access token 是客户端访问资源服务器的令牌.拥有这个令牌代表着得到用户的授权.然而,这个授权应该是临时的,有一定有效期.这是因为, ...

  8. JWT Token、ID Token、Access Token、Refresh Token

    JWT 简介 JSON Web Token (JWT,RFC 7519 (opens new window)),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519 ...

  9. SAP云平台CloudFoundry的Access Token和refresh token

    refresh token -> access token 换取的access token,因为security原因,没有以明文的方式显示在控制台里: 要获取更多Jerry的原创文章,请关注公众 ...

  10. php对接百度网盘开发平台API开发高级实战案例解析:(环境部署、php封装类、Access Token获取、预上传、分片上传)

    文章目录 前言 一.环境部署 1.封装BdPan类库 2.回调地址配置 二.获取授权码Code 1.手动获取Code 2.生成本地token 3.读取AccessToken凭证 4.爬虫函数 二.简化 ...

最新文章

  1. ewebeditor下利用ckplayer增加html5 (mp4)全平台的支持
  2. 简单的 H5 视频推流解决方案
  3. 姚班系创业公司宸镜科技再获新融资,漆子超、陈启峰联手,OPPO入股加持“元宇宙”概念要火?...
  4. python 爬虫 请求网页内容不一致_Python爬虫偷懒神器 — 快速构造请求头!
  5. 选数游戏(ybtoj-二叉堆)
  6. Native method not found: com.autonavi.amap.mapcore.MapProjection.nativeLonLat2Geo:(DDLcom/autonavi/a
  7. 用友套打的打印机型号
  8. pantum打印机驱动安装m6506_奔图Pantum M6506NW 驱动
  9. python3数学建模基础(三)实现斐波那契数列
  10. openwrt路由器打印机服务器设置_OPENWRT网络打印机TCP/IP共享设置教程 以703N为例...
  11. synchronized的底层实现
  12. Swift游戏实战-跑酷熊猫 14 熊猫打滚
  13. 消除“Permission is only granted to system apps”错误
  14. ES中如何实现随机抽样查询
  15. 将一个D触发器转换成JK触发器
  16. flash播放器JW Player使用方法
  17. 使用路由守卫来写登录效果
  18. ffmpeg处理字幕
  19. QPalette(调色板)类的用法
  20. Google总部员工的“腐败”生活(图组) 25岁华为员工之死

热门文章

  1. paip. c++ doxygen 文档工具的使用以及跟QT CREATOR的集成
  2. 基金销售“号”令天下,蚂蚁财富未来要颠覆东方财富?
  3. 超算简史:练飞天之技,登峰一战后,终有落地日 | 凌云时刻
  4. “互联网+创新2.0”、“工业制造4.0战略”、“工业互联网
  5. 【运动学】基于matlab嫦娥奔月仿真【含Matlab源码 1238期】
  6. 【优化电价】基于matlab内点法求解实时电价最优问题【含Matlab源码 1161期】
  7. 【多目标优化求解】基于matlab蜻蜓算法求解多目标优化问题【含Matlab源码 477期】
  8. 【图像增强】基于matlab HSV空间双边滤波图像去雾【含Matlab源码 067期】
  9. 广西计算机一级机试考试试题,2010年12月广西区计算机一级考试机试试题
  10. 涉密计算机多用户审批表,涉密计算机及信息系统安全策略