在 JwtBearerHandler OpenIdConnectConfiguration仅加载一次并“永久”缓存(直到应用程序再次启动)。
进行签名 key 轮换的推荐方法是什么?重新启动应用程序对我不起作用。
最佳答案
方案处理程序是 registered as transient dependencies所以_configuration JwtBearerHandler 内部实际上根本没有缓存。
缓存配置的是 IConfigurationManager<OpenIdConnectConfiguration> 用于从权威机构检索配置。该配置管理器是 Microsoft.IdentityModel.Protocols.ConfigurationManager<> 它确实有一个内部刷新机制,使它每隔一段时间重新获取配置。
默认情况下,自动刷新间隔设置为一天,因此配置管理器将每天获取一次配置。您可以修改它,以便更频繁地刷新。
为此,您可以调整 AutomaticRefreshInterval配置管理器的属性。为避免必须自己创建配置管理器,您可以添加配置后操作以在创建配置管理器后对其进行调整。像这样的东西应该工作:
services.PostConfigure<JwtBearerOptions>(JwtBearerDefaults.AuthenticationScheme, options =>
{
if (options.ConfigurationManager is ConfigurationManager<OpenIdConnectConfiguration> manager)
{
manager.AutomaticRefreshInterval = TimeSpan.FromHours(6);
}
});
当然,您也可以随时显式调用
RequestRefresh method在配置管理器上。例如,如果您有一些可以通知您配置更改的外部信号,您可以这样做。比如说,您可以为此提供一个 API 端点。
关于security - JwtBearerHandler 缓存 OpenIdConnectConfiguration 'forever',我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/53742164/