我已经看过了
Why Does OAuth v2 Have Both Access and Refresh Tokens?
https://auth0.com/blog/refresh-tokens-what-are-they-and-when-to-use-them/
根据我的理解,这就是OAuth v2的工作原理:
1)用户将其凭据发送到验证它的服务器并返回access_token和refresh_token
2)用户发送此acsess_token以及进一步请求以表明身份
3)当access_token到期时,用户向服务器发送另一个请求refresh_token以及其他所需参数,要求新的access_token和refresh_token
这是我的问题:
单独refresh_token需要什么?为什么不发送新的access_token(即将过期),换一个新的?
使用refresh_token的其他优势是什么?
答案 0 :(得分:1)
理论上,访问令牌更有用。它可以位于浏览器中,客户端的服务器端,授权服务器上或资源服务器上。访问令牌将附加到每个API请求,而刷新令牌的使用频率要低得多。
来自网络的一些引言......
与访问令牌不同,刷新令牌仅用于授权服务器,不会发送到资源服务器。 https://tools.ietf.org/html/rfc6749#section-10.4
[刷新令牌]通常受到严格的存储要求,以确保它们不会泄露。 https://auth0.com/learn/refresh-tokens/
基本上,如果我们只有访问令牌,攻击面会更大。