IdentityServer4 refresh_token取り消し

Question

私はこの例のアクセスとリフレッシュトークンを持つ認証のためにIdentityServer4 ROPCフローを使用するSPAアプリケーションを持っていますhttps://github.com/robisim74/AngularSPAWebAPI。 15分ごとにrefresh_tokenを更新し、新しいペアのリフレッシュトークンとアクセストークンを取得します。

IdentityServer4アプリを再起動した場合、再起動前に発行された古いrefresh_tokensは有効ではなくなりました。それを修正するには？私は発行されたリフレッシュトークンを格納するためにいくつかのインターフェースを実装すべきだと思う？

Answer 1

IPersistedGrantStore契約を使用して永続性付与を実装する必要があります。これは、refresh_tokensのようなものを定義された永続性に格納します。デフォルトでは、IdentityServer 4はInMemory永続ストアを使用します。そのため、アプリケーションを再起動するときにrefresh_token参照が失われることがあります。

refresh_tokensを使用する予定がある場合は、本番用の永続性レイヤーが必須です。