如何使用刷新令牌和 OpenId Connect 处理 ASP.NET Core 中过期的访问令牌

我已经使用和使用“Microsoft.AspNetCore.Authentication.OpenIdConnect”：“1.0.0”和“Microsoft.AspNetCore.Authentication.Cookies”：“1.0.0”的asp.net core mvc应用程序配置了ASOS OpenIdConnect服务器。我已经测试了“授权代码”工作流程，一切正常。

客户端 Web 应用程序按预期处理身份验证，并创建一个存储 id_token、access_token 和 refresh_token 的 cookie。

如何强制 Microsoft.AspNetCore.Authentication.OpenIdConnect 在过期时请求新的 access_token？

asp.net core mvc应用程序忽略过期的access_token。

我想让 openidconnect 查看过期的 access_token，然后使用刷新令牌进行调用以获取新的 access_token。它还应该更新 cookie 值。如果刷新令牌请求失败，我希望 openidconnect“注销”cookie（删除它或其他东西）。

app.UseCookieAuthentication(new CookieAuthenticationOptions
        {
            AutomaticAuthenticate = true,
            AutomaticChallenge = true,
            AuthenticationScheme = "Cookies"
        });

app.UseOpenIdConnectAuthentication(new OpenIdConnectOptions
        {
            ClientId = "myClient",
            ClientSecret = "secret_secret_secret",
            PostLogoutRedirectUri = "http://localhost:27933/",
            RequireHttpsMetadata = false,
            GetClaimsFromUserInfoEndpoint = true,
            SaveTokens = true,
            ResponseType = OpenIdConnectResponseType.Code,
            AuthenticationMethod = OpenIdConnectRedirectBehavior.RedirectGet,
            Authority = http://localhost:27933,
            MetadataAddress = "http://localhost:27933/connect/config",
            Scope = { "email", "roles", "offline_access" },
        });

看来asp.net core的openidconnect身份验证中没有编程来管理接收到的服务器上的access_token。

我发现我可以拦截cookie验证事件并检查访问令牌是否已过期。如果是这样，请使用 grant_type=refresh_token 对令牌端点进行手动 HTTP 调用。

通过调用 context.ShouldRenew = true;这将导致 cookie 被更新并在响应中发送回客户端。

我已经提供了我所做工作的基础，并将在所有工作解决后努力更新此答案。

app.UseCookieAuthentication(new CookieAuthenticationOptions
        {
            AutomaticAuthenticate = true,
            AutomaticChallenge = true,
            AuthenticationScheme = "Cookies",
            ExpireTimeSpan = new TimeSpan(0, 0, 20),
            SlidingExpiration = false,
            CookieName = "WebAuth",
            Events = new CookieAuthenticationEvents()
            {
                OnValidatePrincipal = context =>
                {
                    if (context.Properties.Items.ContainsKey(".Token.expires_at"))
                    {
                        var expire = DateTime.Parse(context.Properties.Items[".Token.expires_at"]);
                        if (expire > DateTime.Now) //TODO:change to check expires in next 5 mintues.
                        {
                            logger.Warn($"Access token has expired, user: {context.HttpContext.User.Identity.Name}");

                            //TODO: send refresh token to ASOS. Update tokens in context.Properties.Items
                            //context.Properties.Items["Token.access_token"] = newToken;
                            context.ShouldRenew = true;
                        }
                    }
                    return Task.FromResult(0);
                }
            }
        });