IdentityServer4设置RefreshTokenExpiration=Sliding不生效的原因

最近将统一身份认证授权中心发布上线，没曾想一个星期后出了问题：突然所有用户陆续全部下线，需要重新登录业务系统。

赶紧检查相关日志，发现居然是RefreshToken失效了，排查代码结果是Redis中的RefreshToken全部到期清除。。。

我就奇了怪了，明明将 RefreshTokenExpiration 设置为 Sliding ，只要用户持续访问系统，登录授权就会一直续期啊。

 

 

为什么Sliding模式下，RefreshToken的生命周期还是在7天后就过期了？我又是翻官方文档又是翻源码，一点一点的了解到了真相：
1、RefreshToken生命周期有2种模式，Absolute固定周期和Sliding滑动周期，前者到指定时间就会过期，后者则每次刷新Token时会延期
2、注意，这里有个容易忽视的点：The lifetime will not exceed AbsoluteRefreshTokenLifetime，即RefreshToken生命周期不会超过Absolute的生命周期！

3、而之前由于一些原因，我给Absolute和Sliding都设置为7天，这意味着7天后RefreshToken必将过期，滑动周期不会生效！
4、所以在发布上线的7天后，所有RefreshToken过期失效，刷新Token的请求都校验不通过。。。

 

解决方法，根据官方文档，将Absolute的生命周期设置为0，第2点规则就不会生效：

 

 

分析ids4的源码逻辑确实如此，本地也验证通过：

 

 日志级别调到DEBUG，可以看到详细记录，当AbsoluteRefreshTokenLifetime>0时，会将周期重置为604800s即7天（注意是从RefreshToken创建日期开始算起）：