当前位置: 首页 > 知识库问答 >
问题:

访问令牌和刷新令牌是相同的吗?

空英达
2023-03-14

我有一个基于OAuth2的授权服务器。与访问令牌一起发送的还有刷新令牌。

我可以使用访问令牌获得一个资源,当它过期时,我使用刷新令牌请求一个新的资源。

不过,我也可以用刷新令牌获取资源...是Oauth2的典型行为吗?我以为这个刷新令牌只用于请求新的访问令牌,而不是用于获取受保护的资源。

多谢了。

共有1个答案

麹承
2023-03-14

当我在项目中使用Oauth2实现时,我也遇到了同样的问题。请您看一下这个演示文稿Oauth2!这对刷新令牌、访问令牌有很大帮助,当我们使用它时,它做了什么,它涵盖了什么,如果它相同或不相同也是。

 类似资料:
  • 我已经阅读了JWT和访问令牌和刷新令牌。我知道您必须在很短的时间(分钟)内设置访问令牌过期,并在过期时使用刷新令牌获取新的访问令牌。 我不清楚三件事: 谁检查访问令牌是否过期?客户端是否通过发送过期的访问令牌和刷新来检查并请求新的访问代码? 谁检查刷新令牌是否过期?(显然刷新令牌也需要过期,尽管需要更长的时间才能过期)。 在我看来,如果刷新令牌过期,则必须提示用户重新登录。在某些情况下(移动应用)

  • 这是获得访问代码后测试代码的结果,因此可以看到'new'访问令牌与上一个类似,并且我已经尝试在和fetchAccessTokenWithRefreshToken()的参数上使用。没有得到错误但结果仍然一样... 数组([access_token]=>YA29.GLVQBUGBFZDQN3E8HWD4WFSBB0HLHSYVGZPBE0BOJUB4IEN5PCSOGQXLKEYOU7MEVDLOGO

  • 这是我的身份验证流程: 用户登录后收到两个令牌(具有过期时间的访问令牌和没有过期时间的刷新令牌) 对于每个用户,刷新令牌存储在数据库中名为refreshTokens的json列中(这是一个数组) 在客户端,访问令牌和刷新令牌都存储在本地存储器上 当需要验证用户时,如果访问令牌过期,将使用刷新令牌创建一个新的访问令牌,并将其发送回用户并保持用户登录 当用户注销时,数据库中存储的刷新令牌(在refre

  • null 很抱歉太啰嗦了。 提前谢了。

  • 我不熟悉,它代表。我混淆了它的两个术语:访问令牌和刷新令牌。 用户注册/登录站点后,我创建和。 将刷新标记保存在数据库或cookie中。 15分钟后,用户标记访问令牌过期。 如果用户空闲2小时,我将从cookie或DB中删除刷新令牌,否则我将使用刷新令牌续订访问令牌。 有什么优化的方法可以达到这个目的吗?

  • https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=your_app_client_id&response_type=code&redirect_uri=https%3a%2f%2flogin.microsoftonline.com%2fcommon%2foauth2%2fnativeclient&res