我有一个授权服务器,它也为我提供了一个带有刷新令牌的访问令牌。
我可以使用访问令牌获得受保护的资源,例如典型的Oauth2流程解释,我可以通过刷新令牌获取新的访问权限。在这一点上,一切都好。
但是,我也可以使用刷新令牌获取受保护的资源!在Oauth2中这是正常的吗?刷新令牌有两种行为吗?
由于
答案 0 :(得分:1)
这是不正常的,因为它们最终都在同一个地方,所以首先要有两个令牌。访问令牌是在客户端和受保护资源之间使用的。刷新令牌仅在客户端和授权服务器之间使用。它不应该在这两方之外知道,所以不应该在资源服务器上结束。
但实际上客户端实现在这里是错误的,因为即使刷新令牌可以让您访问受保护资源,客户端也不应该这样做。