我正在研究Oauth2,允许开发人员授权他们的应用用户使用我的服务。我发现一些消息来源说我的授权服务器应该在用户发送断言(在我的情况下是JWT)时返回一个访问令牌,但是它不应该返回刷新令牌。我想知道返回刷新令牌有什么危害。开发人员可以通过调用Api来使刷新/访问令牌无效,该Api使从特定JWT的id授予的任何访问权限无效。
答案 0 :(得分:1)
该建议不正确。刷新令牌是可选的,可以在客户端提供授权授权后由授权服务器自行决定。见Oauth2 specification
1.5刷新令牌
刷新令牌是用于获取访问令牌的凭据。刷新 令牌由授权服务器发给客户端 用于在当前访问令牌时获取新的访问令牌 变得无效或过期,或获得额外的访问令牌 具有相同或更窄的范围(访问令牌可能有更短的 生命周期和权限少于资源授权的权限 所有者)。 根据自行决定发布刷新令牌是可选的 授权服务器。如果授权服务器发出刷新 令牌,在发出访问令牌时包括它(即步骤(D)中) 图1)。