我迪朗达尔SPA的应用程序执行基本的鉴权认证，获取会话令牌，它随后在头部呈现访问Web API控制器方法。 这工作得很好。

在成功验证我在高速缓存中的localStorage的access_token，所以我可以从本地存储重新获得它在浏览器关闭或刷新的情况下保持该会话。 令牌被重新获取，但它是通过用未授权消息的服务器拒绝。

这个问题开始说的是，OP已经成功做了什么，我试图做的，所以它当然是可能的，但他展示了代码是（失败）试图做饼干映射的样本，我无法揣度的性质我从它的问题。

答案之一到这个问题，说：

幸运的是，WIF有办法减轻[重放攻击。 通过配置：

<identityConfiguration>
  .......
  <tokenReplayDetection enabled="true" />
  .....
</identityConfiguration>

我这样做其实我的开发工作站上安装了WIF，但我不知道从哪里开始寻找此设置。 一个搜索我的硬盘中发现了“tokenReplayDetection”在17倍System.IdentityModel相关的DLL，但不是在任何配置文件。

是否有人认为这其实就是问题，如果是的话它在哪里住？ 没有其他的想法也感激地接受。