ASP.NET Core 实现自动刷新JWT Token
前言:
为了安全性考虑,我们可以设置JWT Token较短的过期时间,但是这样会导致客户端频繁地跳到登录界面,用户体验不好。
正常解决办法是增加refresh_token
,客户端使用refresh_token去主动刷新JWT Token。
这里介绍一种变通的方式,自动刷新JWT Token。
原理
我们读取每个请求的Authorization
头,获得当前请求的JWT Token。
检查当前token的过期时间,如果在30分钟以内,那么我们就生成一个具有新过期时间的JWT Token,并通过X-Refresh-Token
头返回。
客户端检查到X-Refresh-Token
头,就将保存的JWT Token替换掉,下次发送请求就是用最新的token了。
实现
创建一个Middleware
,它的作用是检查JWT Token过期时间并生成新token返回:
public async Task InvokeAsync(HttpContext context) { JwtSecurityToken token = null; string authorization = context.Request.Headers["Authorization"]; if (!string.IsNullOrEmpty(authorization) && authorization.StartsWith("Bearer ")) token = new JwtSecurityTokenHandler(). ReadJwtToken(authorization.Substring("Bearer ".Length)); //刷新Token if (token != null && token.ValidTo > DateTime.UtcNow && token.ValidTo.AddMinutes(-30) <= DateTime.UtcNow) { context.Response.Headers.Add("X-Refresh-Token", await RefreshTokenAsync(token)); } await _next(context); }
结论
当然,推荐大家尽量使用refresh_token
的方式,毕竟这样安全性会更高一些。
到此这篇关于ASP.NET Core 实现自动刷新JWT Token的文章就介绍到这了,更多相关ASP.NET Core 自动刷新 内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
ASP.net(C#)从其他网站抓取内容并截取有用信息的实现代码
ASP.net(C#)从其他网站抓取内容并截取有用信息的实现代码,需要的朋友可以参考下。2011-09-09ASP.NET网站管理系统退出 清除浏览器缓存,Session的代码
管理系统退出登陆后,将网址重新输入后还会看到用户登陆后的界面,为了解决这个问题,我采用了以下方法,需要的朋友可以参考下2012-05-05asp.net(c#)实现从sqlserver存取二进制图片的代码
有一个员工表Employee,需要保存员工照片(Photo)到数据库(sql server)上。员工照片对应的字段是varbinary(max),也就是要存成二进制文件类型(这和以前讨巧地存图片文件路径就不相同了),默认可以为空。2011-09-09.net生成缩略图及水印图片时出现GDI+中发生一般性错误解决方法
这篇文章主要介绍了.net生成缩略图及水印图片时出现GDI+中发生一般性错误解决方法 ,需要的朋友可以参考下2014-11-11使用正则Regex来移除网页的EnableViewState实现思路及代码
创建好网页时,什么都没有写,但运行时会发现源程序(View Source),下面一段,此刻,也许你会想起,在网页有一个属性EnableViewState,在某些时候我们并不需要它,接下来将介绍如何移除它,感兴趣的朋友可以了解下啊2013-01-01
最新评论