【问题标题】:OAuth2 purpose of refresh token with authorization codeOAuth2 使用授权码刷新令牌的目的
【发布时间】:2016-12-10 00:19:17
【问题描述】:

我想我使用授权代码授权类型获得了 OAuth2 的流程。 资源所有者登录到服务器,然后使用授权代码重定向到客户端。然后,客户端使用授权代码向授权服务器查询访问令牌和刷新令牌。这就是我感到困惑的地方。

当访问令牌过期时,客户端应该使用授权码还是刷新令牌来获取新的访问令牌?如果您有授权码,为什么还要刷新令牌?

注意我不是在寻找一个回答说 “刷新令牌是可选的”,因为我正在为 amazon-alexa 编写此服务器,这是一项需要刷新的服务令牌和授权码授予类型。

【问题讨论】:

    标签: oauth-2.0


    【解决方案1】:

    如果 oauth2 服务器是根据授权码 RFC 6749 Section 10.5 的安全准则编写的,则您无法重用它来获取第二个 access_token。

    授权码必须是短暂的且一次性使用。如果 授权服务器观察到多次尝试交换一个 访问令牌的授权代码,授权服务器 应该尝试撤销所有已经授予的访问令牌 被泄露的授权码。

    如果授予 refresh_token,则可以使用 refresh_token 授予交换另一个 access_token 和新的 refresh_token。如果 refresh_token 在这种情况下仍然有效,则用户不必重新进行身份验证。

    【讨论】:

      猜你喜欢
      • 2018-06-23
      • 2016-10-13
      • 2018-02-03
      • 2018-09-19
      • 2018-08-20
      • 2018-08-21
      • 1970-01-01
      • 2022-11-27
      • 2013-11-08
      相关资源
      最近更新 更多