基于The OAuth 2.0 Protocol Refresh Tokens用于重新验证访问令牌,主要是通过将刷新令牌保存到数据库并控制它们来维护撤销。这样做有什么好处?为什么不保存Access Token本身?
答案 0 :(得分:7)
访问令牌很短暂,通常只能工作1小时。要获取新的访问令牌,请使用刷新令牌。
第24页
Authorization servers SHOULD issue access tokens with a limited
lifetime and require clients to refresh them by requesting a new
access token using the same assertion if it is still valid.
Otherwise the client MUST obtain a new valid assertion.
通过发送刷新令牌并请求新的访问令牌,这使验证服务器有机会验证您是否仍然具有访问权限且用户未撤销您的访问权限。
在下面回答原因:
访问令牌短暂存在的原因是,如果它们受到攻击,则攻击者使用它的时间有限。它通常会在一小时内到期。
如果刷新令牌被泄露,则它是无用的,因为黑客无法访问客户端ID,必须同时将其发送到身份验证服务器以获取新的访问令牌。
答案 1 :(得分:1)
请参阅Why Does OAuth v2 Have Both Access and Refresh Tokens?以获取包含撤销注意事项的扩展答案