一次性使用访问令牌?
Single use access token?
据我了解,它可以创建一个简短的实时访问令牌。但它是否具有类似于授权码的一次性访问令牌?
最好的方法是什么?有想过用refresh token,但还是短暂的,不是一次性的。
或者可以这样做吗:
App1 需要从 IS4 获取访问令牌才能调用 App2,但该令牌只能使用一次。 IS4 能否在状态中保留某些内容并且 App2 需要调用 IS4 的内省端点(而不是 JWT 的本地验证)并且 IS4 检查其状态并允许它一次?
提前致谢。
您可以将 IdentityServer 配置为将唯一值(jti 声明)放入访问令牌中。那是客户端设置。
这可用于在 API 处维护重播缓存以拒绝使用多次的令牌。令牌生命周期有助于 trim 缓存。
据我了解,它可以创建一个简短的实时访问令牌。但它是否具有类似于授权码的一次性访问令牌?
最好的方法是什么?有想过用refresh token,但还是短暂的,不是一次性的。
或者可以这样做吗:
App1 需要从 IS4 获取访问令牌才能调用 App2,但该令牌只能使用一次。 IS4 能否在状态中保留某些内容并且 App2 需要调用 IS4 的内省端点(而不是 JWT 的本地验证)并且 IS4 检查其状态并允许它一次?
提前致谢。
您可以将 IdentityServer 配置为将唯一值(jti 声明)放入访问令牌中。那是客户端设置。
这可用于在 API 处维护重播缓存以拒绝使用多次的令牌。令牌生命周期有助于 trim 缓存。