Я реализовал безопасность для своего веб-API (отдельных учетных записей), как обсуждалось здесь.
Я разместил сайт на godaddy (общий хостинг), и он работает нормально. Когда я запрашиваю токен, используя URL-адрес «domain.com/token», я получаю токен со сроком действия в течение 15 дней. Я установил это в «StartupAuth.cs», используя
AccessTokenExpireTimeSpan = TimeSpan.FromDays(15)
e.g.:
{
"access_token":"qwertyuiop.....",
"token_type":"bearer",
"expires_in":1209599,
"userName":"[email protected]",
".issued":"Wed, 11 Feb 2015 01:00:00 GMT",
".expires":"Thu, 26 Feb 2015 01:00:00 GMT"
}
(Я помещаю значения в приведенный выше код, но вы поняли идею поля «.expires».
Через 5 минут после получения токена, когда я пытаюсь получить доступ к «получить» или «отправить» или к любому методу в моем API, передав авторизацию: токен носителя в заголовке как:
Authorization: Bearer qwertyuiop.....
Я получаю эту ошибку:
{"Message":"Authorization has been denied for this request."}
Хотя прошло всего 5 минут, а токен должен действовать 15 дней, срок его действия истекает в течение 5 минут. Когда я запрашиваю любой метод «получить»/«отправить» в течение 5 минут, я получаю правильный ответ с моими данными в формате JSON. Короче говоря, авторизация прошла успешно.
Я повторил это поведение, протестировав его с помощью Fiddler, плагина REST для Chrome и с помощью мобильного приложения, использующего API.
У меня есть значения web.config для сеанса, как показано ниже (я думал, что это связано)
<sessionState timeout="180" />
Обратите внимание, что проверка подлинности с помощью форм не используется, поэтому тайм-аут для этого раздела в web.config не требуется.
Есть идеи, что происходит? Этот тайм-аут заставляет пользователей мобильных приложений, использующих API, время от времени повторно входить в систему. Любая помощь будет оценена по достоинству.
Спасибо.
