引用的员额:
短小精悍的是--客户可以代表自己行事,而不涉及资源所有者;只需像以前一样请求一个新的访问令牌。
...但是对于Oauth2客户机凭据流,为什么要冒险使用刷新令牌呢?
很好的观察;客户端凭据流不发出刷新令牌。在没有资源所有者的情况下,假设客户机可以根据需要请求新的访问令牌是合理的。
本文向大家介绍oauth 刷新访问令牌,包括了oauth 刷新访问令牌的使用技巧和注意事项,需要的朋友参考一下 示例 资源
null 很抱歉太啰嗦了。 提前谢了。
我不熟悉,它代表。我混淆了它的两个术语:访问令牌和刷新令牌。 用户注册/登录站点后,我创建和。 将刷新标记保存在数据库或cookie中。 15分钟后,用户标记访问令牌过期。 如果用户空闲2小时,我将从cookie或DB中删除刷新令牌,否则我将使用刷新令牌续订访问令牌。 有什么优化的方法可以达到这个目的吗?
我正在使用来自这个github存储库的php oAU2库。 PHP oauth2库 每当我发送刷新令牌时,我都会收到带有旧作用域的新访问令牌。但我想更改使用新访问令牌返回的作用域。 当我第一次使用用户凭据授权类型生成令牌时,我会获取用户支持的作用域并以这种方式存储它们。 其中$scopes是一个数组 例如$scopes=array("ADDUSER "," EDITUSER "," EDITROL
我已经阅读了JWT和访问令牌和刷新令牌。我知道您必须在很短的时间(分钟)内设置访问令牌过期,并在过期时使用刷新令牌获取新的访问令牌。 我不清楚三件事: 谁检查访问令牌是否过期?客户端是否通过发送过期的访问令牌和刷新来检查并请求新的访问代码? 谁检查刷新令牌是否过期?(显然刷新令牌也需要过期,尽管需要更长的时间才能过期)。 在我看来,如果刷新令牌过期,则必须提示用户重新登录。在某些情况下(移动应用)
若授权服务器给客户端颁发了刷新令牌,客户端通过使用按附录B“application/x-www-form-urlencoded”格式在HTTP请求实体正文中发送下列UTF-8字符编码的参数向令牌端点发起刷新请求: grant_type 必需的。值必须设置为“refresh_token”。 refresh_token 必需的。颁发给客户端的刷新令牌。 scope 可选的。如3.3节所述的访问请求的范