spring - 为什么访问令牌不再有到期时间?
问题描述
我正在尝试在我的应用程序中使用 Jwt 实现 Oauth2。我有一个疑问是为什么我需要更短的到期时间access_token和更长的到期时间refresh_token。
我的意思是我可以拥有access_token更长的到期时间,并且我会像保护access_token一样保护refresh_token,没有必要refresh_token只是。那有意义吗?
因此,如果我从我的应用程序中忽略 refresh_token,我会面临任何可用性问题或安全问题吗?
解决方案
参见RFC 6749:
1.5。刷新令牌
刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器下发给客户端,用于在当前访问令牌失效或过期时获取新的访问令牌,或者获取范围相同或更窄的额外访问令牌(访问令牌的生命周期可能较短,并且权限少于资源所有者授权的权限)。授权服务器可自行决定是否发布刷新令牌。如果授权服务器发布刷新令牌,则在发布访问令牌时包含它(即,图 1 中的步骤 (D))。
刷新令牌是一个字符串,表示资源所有者授予客户端的授权。该字符串通常对客户端是不透明的。令牌表示用于检索授权信息的标识符。与访问令牌不同,刷新令牌仅用于授权服务器,并且永远不会发送到资源服务器。
推荐阅读
- c# - 在C#中找到k个最近的邻居
- discord.py - 设置频道 discord.py bot。我不知道如何执行此功能
- android - 如何读取 NFC Beam 和标签?
- python - Python 创建 __init__.py 以指向正确的子包
- python - 如何将破折号托管的网页变成单个静态 html 页面?
- java - Java:For循环不显示所有输出数字
- android - react native 中是否有用于 instagram auth implimentation 的 NPM 包?(Expo)
- arrays - AutoHotkey:数组和对象范围
- sql - 使用联接过滤查询未返回正确的结果
- python-2.7 - Python pandas 在给定条件下写入 excel