我在一个Dotnet core 2.0 WebAPI项目中使用Identity Server 4进行身份验证。该API被多个Web-和iOSAndroid应用程序使用。
今天我们使用JWT作为访问令牌和标准的JWT过期标志(设置为登录时间+1小时)来确定JWT是否过期。现在,我们想改变API中的一些端点,这些端点仍然需要用户登录才能接收JWT,但在这些端点上,JWT的有效期应该是很多天。
是否有可能为一个登录处理多个JWT,或者应该在JWT中用一个自定义属性来处理更安全的端点?
访问令牌有2种青睐,自带和 参考您可以参考代币并利用 反省端点 用于额外的检查。有一个内置的 缓存 可用,你可以设置它的 CacheDuration 基于API安全级别。您还可以通过以下方式自定义反省响应。自省响应生成器
CacheDuration