令牌生命周期

Question

我在angular使用IdentityServer4和Oidc-Client，我有令牌生命周期的所有默认设置，使用隐式流有3个令牌生命周期访问存储生命周期、IdtokenLifetime andAuthorizationTokenLifetime

我不理解静默刷新的流程和如何检查它，我在访问的生命周期中做了一些更改，假设它会触发静默刷新，但它没有触发它。第二，何时使用IdTokenLifetime以及它对授权有何影响

Answer 1

触发的静默刷新不依赖于任何令牌的隐式生存期。静默刷新由客户端应用程序启动，只要您与身份提供者之间存在基于cookie的会话，就可以随时执行该刷新。为了重申什么是静默刷新，它是指当客户端应用程序向身份提供者打开iframe (对用户隐藏)并使用现有的cookie会话进行身份验证并接收新的访问和id令牌时。

对于您提出的为什么使用id标记以及它如何影响授权的问题，我认为根本没有影响。Id令牌只对身份验证过程很重要，而对授权不重要。

不同之处在于，在授权的情况下，客户端在过去的某个时间被授予了用户权限，但尚未被撤销。这意味着使用刷新令牌，应用程序可以检索访问令牌并代表用户进行调用，而无需用户实际登录到应用程序。通过身份验证，客户端可以确保用户在身份令牌过期或身份提供者会话过期的持续时间内执行了某种形式的身份验证。

id令牌上的过期在某种程度上说明了在认为用户未经身份验证之前身份验证持续了多长时间。此外，该字段需要作为oidc规范的一部分进行验证(我相信是因为我上面提到的原因)，如果没有它，您将无法创建有效的id令牌。