【问题标题】:Oauth2: Refresh token for get protected resource?Oauth2:刷新令牌以获取受保护的资源?
【发布时间】:2016-01-12 17:33:58
【问题描述】:

我有一个授权服务器,它也为我提供了一个带有刷新令牌的访问令牌。

我可以使用访问令牌(如典型的 Oauth2 流程说明)获得受保护的资源,并且我可以通过刷新令牌获得新的访问令牌。至此,一切正常。

但是,我也可以使用刷新令牌获得受保护的资源!在 Oauth2 中是否正常?刷新令牌有两种行为吗?

谢谢

【问题讨论】:

    标签: oauth-2.0 access-token


    【解决方案1】:

    这是不正常的,因为它们最终都在同一个地方,所以首先有两个标记是不正确的。访问令牌是在客户端和受保护资源之间使用的东西。刷新令牌仅在客户端和授权服务器之间使用。它不应该在这两方之外为人所知,因此不应该在资源服务器上结束。

    但这里的客户端实现确实是错误的,因为即使刷新令牌可以让您访问受保护的资源,客户端也不应该这样做。

    【讨论】:

      猜你喜欢
      • 2012-06-29
      • 1970-01-01
      • 2015-06-05
      • 2015-03-19
      • 1970-01-01
      • 2014-08-27
      • 2018-02-27
      • 2016-10-13
      • 2017-04-20
      相关资源
      最近更新 更多