在阅读Google OAuth2文档后,我已下载div并使用此文件获取访问令牌(持票人令牌)。
我不确定这是否是OAuth2的标准。一些文档显示我们需要刷新令牌和客户端凭证来获取访问令牌,但为什么不刷新令牌呢?如果我有客户端凭证,这是否意味着我可以直接获得访问令牌?
答案 0 :(得分:3)
是的,您必须将客户端凭据与刷新令牌一起发送,这是OAuth2规范的一部分。来自RFC 6749, section 6:
由于刷新令牌通常是用于请求其他访问令牌的持久凭据,因此刷新令牌将绑定到发布它的客户端。如果客户端类型是机密或客户端已获得客户端凭据(或分配了其他身份验证要求),则客户端必须使用授权服务器进行身份验证。