【发布时间】:2019-10-11 00:47:11
【问题描述】:
假设是这样的:
前端应用程序使用隐式流程请求身份验证,并且用户已登录。该应用程序为用户提供了创建任务/作业的功能,该任务/作业应在未来的预定时间点代表用户执行许多操作。这也可能是一项跨越数小时(甚至数天)的长期任务。前端应用程序有自己的客户端 ID(带有隐式流),而执行计划任务的服务有一个单独的客户端 ID(和机密)。
问题:
前端应用程序应该将什么传递给计划任务,以便执行计划任务的服务可以作为原始用户进行身份验证?
假设任务应该使用刷新令牌运行,以便在需要时获取新的访问令牌,那么它首先如何获取刷新令牌?前端应用无法传递第一个,因为隐式流不支持刷新令牌,即使支持也会将其发送给错误的客户端。
【问题讨论】:
-
看起来与this one 非常相似
-
类似,是的,但它不能解决我试图描述的问题。我现在已经可以将用户 ID 或名称传递给任务运行程序,但使用客户端凭据将为其提供访问令牌,而不涉及用户,这将在稍后导致任务运行程序访问需要用户授权的资源时出现问题。
-
您错过了重点:在链接的答案中,我建议稍后将访问令牌放入 extract userId。并且使用委托(基于客户端凭据)在需要的时候与用户在里面获得一个新的令牌。我认为您的“长时间运行的任务”没有区别
-
将 userId 作为普通参数发送只是一种替代方法,但是当您绝对信任运行作业的服务并且它连接到以下 api 时,这是绝对有效的(例如,您可以使用客户端证书)
-
链接答案中更重要的一点是 刷新令牌 不会被共享。因此,即使您从隐式切换到代码或混合以获取刷新令牌,它也旨在与唯一的客户端一起使用,而不是发送给另一个客户端(例如您的工作运行者)。
标签: identityserver4 openid-connect refresh-token