Аутентификация asp .net core через IdentityServer4

[easyman]

Вы ведь подписываете jwt токены?

В целом, неплохо бы чек-лист, что нужно проверить и настроить для работы identityserver4 в интернете в production режиме.

[Ascar]

Ага,

builder.AddDeveloperSigningCredential();

на выходе дает «alg»: «RS256». Вообще можно свой RsaSecurityKey в AddSigningCredential передать, либо сделать сертификат, если нужно постоянство открытого ключа. У меня до idsrv4 был симметричный алгоритм для jwt. Токен живет недолго, потом обновляется и в браузере проверять подпись не надо, главное чтоб https было. Поправьте если ошибаюсь.

[onatsko]

и не забывать делать token/revocationn, а то таблица PersistedGrants быстро наполняется и потом больно будет.

[dmitry_dvm]

token/revocation — это же отзыв токена? Сейчас залез в PersistedGrants, там уже больше 7к записей. Не так много, но еще тестовая эксплуатация. Что с ними делать, как автоматизировать чистку?

[onatsko]

ну вы же в коде получаете токен. и используете его. в конце, при завершении использования надо делать revocation для этого токена. и тогда он будет зачищаться в этой таблице.
если руками удалить все записи из таблицы PersistedGrants — то не сможете потом залогиниться ((((
там можно для каждого токена удалять всё, кроме последней записи (последней по времени) — мы так вручную вынуждены были зачищать токены.

«уже больше 7к записей» — вот у нас их было более 100к и всё стало очень тормозить. всё это я про получение токена.

[cstrike]

Как на счет краткого бекграунда? Кто такой рифреш токен? Клиент? Почему connect/token? Не знал бы темы, ничего бы не понял из написанного.