為了安全性考慮，我們可以設置JWT Token較短的過期時間，但是這樣會導致客戶端頻繁地跳到登錄界面，用戶體驗不好。

正常解決辦法是增加refresh_token，客戶端使用refresh_token去主動刷新JWT Token。

這里介紹一種變通的方式，自動刷新JWT Token。

原理

我們讀取每個請求的Authorization頭，獲得當前請求的JWT Token。

檢查當前token的過期時間，如果在30分鐘以內，那么我們就生成一個具有新過期時間的JWT Token，并通過X-Refresh-Token頭返回。

客戶端檢查到X-Refresh-Token頭，就將保存的JWT Token替換掉，下次發送請求就是用最新的token了。

實現

創建一個Middleware，它的作用是檢查JWT Token過期時間并生成新token返回：

public?async?Task?InvokeAsync(HttpContext?context) {JwtSecurityToken?token?=?null;string?authorization?=?context.Request.Headers["Authorization"];if?(!string.IsNullOrEmpty(authorization)&&?authorization.StartsWith("Bearer?"))token?=?new?JwtSecurityTokenHandler(). ReadJwtToken(authorization.Substring("Bearer?".Length));//刷新Tokenif?(token?!=?null? &&?token.ValidTo?>?DateTime.UtcNow? &&?token.ValidTo.AddMinutes(-30)?<=?DateTime.UtcNow){context.Response.Headers.Add("X-Refresh-Token",await?RefreshTokenAsync(token));}await?_next(context); }

結論

當然，推薦大家盡量使用refresh_token的方式，畢竟這樣安全性會更高一些。

想了解更多內容，請關注我的個人公眾號”My IO“

總結

以上是生活随笔為你收集整理的ASP.NET Core 自动刷新JWT Token的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。