刷新时返回当前有效的访问令牌而不是新的访问令牌

【问题标题】:Return current valid access token instead of new access token when refresh刷新时返回当前有效的访问令牌而不是新的访问令牌
【发布时间】:2021-03-04 20:35:15
【问题描述】:

我正在实现 oauth2 授权服务器。

当使用 oauth2 交换刷新令牌来访问令牌 (rfc6749) 时,我的客户端 - 一个移动应用程序在实现拦截器时遇到了麻烦(由于多种原因)。

和以前一样,我的客户执行令牌交换流程 (rfc8693) 并且访问令牌存储在数据库中,所以我决定返回当前访问令牌(仅当它仍然有效时)而不是每次都发出新的访问令牌接收刷新令牌。

访问令牌的生命周期很短(大约 5 分钟),用户可以撤销访问令牌和刷新令牌。

但是这个决定是针对 rfc6749 的,它声明了新的访问令牌

授权服务器对客户端进行身份验证并验证 刷新令牌,如果有效,则发出一个新的访问令牌(并且, 可选地,一个新的刷新令牌)

我想知道这个决定是否会导致任何问题?

【问题讨论】:

    标签: oauth-2.0 access-token interceptor refresh-token rfc6749


    【解决方案1】:

    正如您所指出的,这本身就是违反规范的。规范的重点是对刷新令牌请求做一些有用的事情。在您的情况下,刷新令牌请求没有任何意义,因为实际上并未刷新访问令牌。因此,对于您的用例,更好的方法是不要让客户端在访问令牌仍然有效时刷新它。但是,建议的方法除了违反规范以及可能与某些客户端无法互操作外,不会导致任何问题。

    【讨论】:

      猜你喜欢
      • 2021-11-21
      • 1970-01-01
      • 2021-12-17
      • 2023-03-22
      • 2017-05-16
      • 2016-03-13
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode