【发布时间】:2019-01-08 10:06:31
【问题描述】:
当涉及到使用 OAuth2 更新客户端的访问令牌时,客户端可能有一个刷新令牌,这是我看到一些不同意的地方:
您是否应该更新刷新令牌并使旧令牌在每个访问令牌更新请求或中继续发送相同的刷新令牌,如果是,我们什么时候更改?我们要改变它吗?
【问题讨论】:
【发布时间】:2019-01-08 10:06:31
【问题描述】:
这取决于您使用的授权服务器。从 OAuth 2.0 规范的角度来看,在令牌刷新响应中发送新的刷新令牌是可选的。
来自section 1.5 of OAuth 2.0 specification
授权服务器对客户端进行身份验证并验证 刷新令牌,如果有效,则发出一个新的访问令牌(并且, (可选)新的刷新令牌)。
所以这将取决于具体的实现。具体细节应包含在您的授权服务器文档中。
另外,需要注意的一点是,建议以一种即使刷新令牌也可能在一段时间后过期的方式进行编码。参考什么Google say about their token expiration。令牌可能会在长时间未使用或用户撤销代表他/她发行的令牌时过期。即使刷新令牌未在令牌刷新响应中更新,也会出现这种情况。
【讨论】:
-
我完全同意这个答案。在任何情况下,如果响应中有新的刷新令牌,您应该丢弃旧的并保存最新的。