最近将统一身份认证授权中心发布上线,没曾想一个星期后出了问题:突然所有用户陆续全部下线,需要重新登录业务系统。
赶紧检查相关日志,发现居然是RefreshToken失效了,排查代码结果是Redis中的RefreshToken全部到期清除。。。
我就奇了怪了,明明将 RefreshTokenExpiration 设置为 Sliding ,只要用户持续访问系统,登录授权就会一直续期啊。
为什么Sliding模式下,RefreshToken的生命周期还是在7天后就过期了?我又是翻官方文档又是翻源码,一点一点的了解到了真相:
1、RefreshToken生命周期有2种模式,Absolute固定周期和Sliding滑动周期,前者到指定时间就会过期,后者则每次刷新Token时会延期
2、注意,这里有个容易忽视的点:The lifetime will not exceed AbsoluteRefreshTokenLifetime,即RefreshToken生命周期不会超过Absolute的生命周期!
3、而之前由于一些原因,我给Absolute和Sliding都设置为7天,这意味着7天后RefreshToken必将过期,滑动周期不会生效!
4、所以在发布上线的7天后,所有RefreshToken过期失效,刷新Token的请求都校验不通过。。。
解决方法,根据官方文档,将Absolute的生命周期设置为0,第2点规则就不会生效:
分析ids4的源码逻辑确实如此,本地也验证通过:
日志级别调到DEBUG,可以看到详细记录,当AbsoluteRefreshTokenLifetime>0时,会将周期重置为604800s即7天(注意是从RefreshToken创建日期开始算起):
