Как настроить Identity Server v3 для входа в систему только один раз в течение 30 дней?

0

Я хочу создать приложение, где требуется процесс входа в систему, который пользователь должен зайти только один раз за 30 дней.

Сценарий приложения - одностраничное приложение будет записано в угловом режиме с доступом к веб-ави.

Как настроить сервер Identity v3 для входа только один раз?

Каково рекомендуемое время жизни токена доступа для этого сценария, если я хочу сохранить логин в течение 30 дней?

Теги:
single-page-application
asp.net-web-api
identityserver3

1 ответ

2
Лучший ответ

Вы можете настроить IdentityServer на выпуск 30-дневных постоянных файлов cookie. https://identityserver.github.io/Documentation/docsv2/configuration/authenticationOptions.html

Кроме того, вы можете управлять, если IdentityServer принимает входящий cookie от пользователя через IAuthenticationSessionValidator. Основным подходом было бы посмотреть на момент входа пользователя в систему и не разрешать файл cookie, если он старше 30 дней. https://identityserver.github.io/Documentation/docsv2/advanced/session-invalidation.html

  • 0
    Я нашел возможность использовать эталонный токен: lessprivilege.com/2015/11/25/… - мне интересно узнать, запросить ли у сервера идентификации этот токен (эталонный токен) и сохранить этот токен доступа в cookie, где Я установил HTTPONLY и SECURE флаги. Каждый запрос читает через cookie-файл этот файл cookie и устанавливает значение токена доступа в качестве атрибута авторизации и отправляет его в API. Что вы об этом думаете? Спасибо за ваши очки.
  • 0
    Оставление долгоживущих токенов доступа - огромная ловушка безопасности, даже если они являются эталонными токенами. Токены доступа не могут быть отозваны, и вы используете их в приложении JavaScript, которое небезопасно по своей природе. Использование подхода Brock Allen - ваш лучший вариант: держать пользователя вошедшим в IdentityServer и обновлять токены доступа с коротким TTL.
Показать ещё 1 комментарий

Ещё вопросы

Сообщество Overcoder
Наверх
Меню