【发布时间】:2020-11-26 00:30:39
【问题描述】:
如果我知道我的身份验证提供商将刷新令牌设置为在 12 小时后过期,并且我已通过身份验证并且我的 auth_time 声明显示为今天上午 9 点,我是否可以安全地假设我的刷新令牌将在今晚晚上 9 点过期?还是auth_time 和刷新令牌的发行/到期相互独立?
【问题讨论】:
标签: authentication oauth oauth-2.0 openid-connect refresh-token
如果我知道我的身份验证提供商将刷新令牌设置为在 12 小时后过期,并且我已通过身份验证并且我的 auth_time 声明显示为今天上午 9 点,我是否可以安全地假设我的刷新令牌将在今晚晚上 9 点过期?还是auth_time 和刷新令牌的发行/到期相互独立?
【问题讨论】:
标签: authentication oauth oauth-2.0 openid-connect refresh-token
这取决于身份验证提供程序,但在某些提供程序中,您可以在不同的令牌(id/access/refresh)上设置不同的过期时间。还有一些支持绝对或滑动过期时间。
可以在here 找到 IdentityServer 的示例过期配置选项以获取灵感。
【讨论】: