作为刷新令牌的交换,我们获得了一个新的访问令牌和一个新的刷新令牌。在这种情况下是否应该撤销旧的刷新令牌?
答案 0 :(得分:1)
授权服务器应该自己使旧的刷新令牌无效,不需要客户端执行任何操作。在规范https://tools.ietf.org/html/rfc6749#section-6中,它是一个" MAY"对于授权服务器:
授权服务器可以在之后撤销旧的刷新令牌 向客户端发出新的刷新令牌。
但如果没有这样做,那将被视为不良的安全卫生。或者,它可以公开RFC 7009 https://tools.ietf.org/html/rfc7009中列出的令牌撤销API。