IdentityServer4 - ASP. Net core 2 - получение несанкционированного доступа даже с использованием действующего токена

Question

Я получаю доступ к своему безопасному API (защищенному identityServer4) из приложения. Net core mvc.

Когда я регистрируюсь с зарегистрированным пользователем , я получаю действительный токен от конечной точки токена IdentityServer НО когда я go для доступа к ресурсам API с помощью этого токена, я получил 401 ответ неавторизован , даже это новый токен и Единственным ограничением для этого ресурса API является роль X, и пользователь уже имеет эту роль X.

У вас есть какие-либо идеи, почему это происходит?

ОБНОВЛЕНИЕ: Сервер идентификации развернут на двух веб-серверы с балансировкой нагрузки . при использовании Есть ли отношение, что токены хранятся на In-Mermory сервера?

Спасибо.

Answer 1

Мой ответ будет выглядеть как угадывание, потому что вы не предоставляете много подробностей.

Поскольку вы упомянули балансировщик нагрузки, убедитесь, что ваше приложение IdentityServer4 на обоих веб-серверах использует один и тот же ключ защиты данных.

Вы должны прочитать больше о: services.AddDataProtection ()

https://docs.microsoft.com/en-us/aspnet/core/security/data-protection/configuration/overview?view=aspnetcore-3.1

Прежде чем читать, вы можете проверить, действительно ли это проблема или нет, просто отключив или отключив один из двух веб-серверов и оставив только один. затем попробуйте повторно обновить sh токен и вызвать API.

Это просто быстрый ответ на общую проблему, с которой сталкиваются разработчики, когда они не используют масштабирование для многих (веб-серверов) в своих рассмотрение.

в противном случае, пожалуйста, укажите более подробную информацию, чтобы я мог помочь больше :)