c# - IdentityServer4 30 分钟后自动注销

Question

我有带有 Angular 的 IdentityServer4。 token 每 5 分钟静默刷新一次。但 30 分钟后，用户将自动注销。我试图以某种方式设置终身 cookie，但没有成功。

这是我目前的配置:

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddDbContext<AppIdentityDbContext>(options => options.UseSqlServer(Configuration.GetConnectionString("Identity")));

        services.AddIdentity<AppUser, IdentityRole>(options =>
            {
                options.Password.RequiredLength = 6;
                options.Password.RequireLowercase = false;
                options.Password.RequireUppercase = false;
                options.Password.RequireNonAlphanumeric = false;
                options.Password.RequireDigit = false;
                options.SignIn.RequireConfirmedEmail = true;
                options.User.RequireUniqueEmail = true;
                options.User.AllowedUserNameCharacters = null;
            })
            .AddEntityFrameworkStores<AppIdentityDbContext>()
            .AddDefaultTokenProviders();

        services.AddIdentityServer(options => options.Authentication.CookieLifetime = TimeSpan.FromHours(10))
            .AddDeveloperSigningCredential()
            .AddInMemoryPersistedGrants()
            .AddInMemoryIdentityResources(Config.GetIdentityResources())
            .AddInMemoryApiResources(Config.GetApiResources())
            .AddInMemoryClients(Config.GetClients(Configuration["AppUrls:ClientUrl"]))
            .AddAspNetIdentity<AppUser>();

        services.AddTransient<IProfileService, IdentityClaimsProfileService>();

        services.AddCors(options => options.AddPolicy("AllowAll", p => p.AllowAnyOrigin()
           .AllowAnyMethod()
           .AllowAnyHeader()));

        services.AddRazorPages().AddRazorRuntimeCompilation();
    }

@编辑

如果我会添加

services.Configure<SecurityStampValidatorOptions>(options =>
{
    options.ValidationInterval = TimeSpan.FromHours(24);
});

然后它工作正常，但我敢打赌这不是我的问题的正确解决方案。

@编辑2

我找到了这个
https://github.com/IdentityModel/oidc-client-js/issues/911#issuecomment-617724445
这对我有帮助，但仍然不确定是解决它的正确方法还是只是下一次黑客攻击。

Answer 1

据我所知，这既不是 Identity Server 4 也不是 OpenID Connect 问题。

这是 Asp.Net Identity cookie 的逻辑。这应该可以在 Startup.cs 中配置。

您需要添加以下 cookie 配置:

services.ConfigureApplicationCookie(o =>
{
    o.ExpireTimeSpan = TimeSpan.FromHours(24);
    o.SlidingExpiration = true;
});

这个答案的灵感来自以下答案:

Why doesn't cookie ExpireTimeSpan setting work?

ASP.NET Identity Session Timeout

Why does my IdentityServer4 based server timeout in 30 minutes and only support SSO in the first 30 minutes?