混合流動的令人耳目一新的令牌

Question

我確定我錯過了一些東西。

我有一個MVC應用程序&使用Thinktecture Identity Server的SSO站點。 MVC應用程序使用混合流來驗證SSO站點上的用戶。 MVC網站使用Microsoft OpenIdConnect OWIN客戶端與SSO交談。我的令牌具有相當短的使用壽命 - 大約5分鐘，但我刷新了令牌，因此用戶不斷被重新認證。這是一個非常有用的功能。

但是，當令牌需要刷新時，用戶會通過SSO站點退出，這會破壞表單帖子，ajax調用等。這樣做不太有用。

我可以不在服務器上進行此更新，而不是讓用戶代理執行此操作嗎？我看不到一種方法來做到這一點。

我也正在研究滑動過期以試圖解決這個問題，儘管我一直認爲滑動過期從安全角度來看是一個糟糕的想法。

Answer 1

我錯過了一些東西。我對誰負責各種活動感到困惑。

當令牌過期時，用戶應該通過SSO站點退回。我現在有一個絕對的時間限制在cookie上滑動到期。理想情況下，此限制應該與令牌的到期日一致，但我有一個刷新令牌，因此可以用來刷新服務器的令牌。

一旦依賴方收到有效回覆，它負責保持用戶登錄，而不是SSO站點。一旦令牌需要刷新，就可以使用SSO站點。