【发布时间】:2016-01-12 17:33:58
【问题描述】:
我有一个授权服务器,它也为我提供了一个带有刷新令牌的访问令牌。
我可以使用访问令牌(如典型的 Oauth2 流程说明)获得受保护的资源,并且我可以通过刷新令牌获得新的访问令牌。至此,一切正常。
但是,我也可以使用刷新令牌获得受保护的资源!在 Oauth2 中是否正常?刷新令牌有两种行为吗?
谢谢
【问题讨论】:
我有一个授权服务器,它也为我提供了一个带有刷新令牌的访问令牌。
我可以使用访问令牌(如典型的 Oauth2 流程说明)获得受保护的资源,并且我可以通过刷新令牌获得新的访问令牌。至此,一切正常。
但是,我也可以使用刷新令牌获得受保护的资源!在 Oauth2 中是否正常?刷新令牌有两种行为吗?
谢谢
【问题讨论】:
这是不正常的,因为它们最终都在同一个地方,所以首先有两个标记是不正确的。访问令牌是在客户端和受保护资源之间使用的东西。刷新令牌仅在客户端和授权服务器之间使用。它不应该在这两方之外为人所知,因此不应该在资源服务器上结束。
但这里的客户端实现确实是错误的,因为即使刷新令牌可以让您访问受保护的资源,客户端也不应该这样做。
【讨论】: