如果发出新的刷新令牌,旧的刷新令牌仍然有效吗?
我的应用程序使用Google refresh令牌(从Google获得access_token)。我在这里有两个问题:
- 我知道谷歌刷新令牌不会在6个月内过期(见这里的文档);假设我在1月1日下午5:00pm获得了一个刷新令牌
refresh_token_old,并且我的应用程序在1月1日下午5:30从Google请求了另一个刷新令牌refresh_token_new,那么旧的刷新令牌是否仍然有效(显然旧的还没有过期)?--基本上,我询问新发出的refresh_token是否清除了旧的refresh_token的有效性; - 对于访问令牌
access_token_a,这是我使用refresh_token_old从Google获得的,在我的应用程序请求新的新鲜令牌refresh_token_new之后,它仍然有效吗?--基本上,我询问新的refresh_token是否清除了旧的refresh_token获得的access_token的有效性,即使该access_token尚未过期;
共有1个答案
- 如果刷新令牌六个月未使用,则该令牌将过期。A一旦使用,六个月计时器就会重置。
- 如果您请求一个刷新令牌,那么您的应用程序将请求另一个刷新令牌。从技术上讲,您有两个未完成的刷新令牌,这两个令牌都可以工作。您可以继续这样做,并有多达50个现有刷新令牌,一旦达到该点,第一个将过期。
- 使用任何刷新令牌创建的任何访问令牌都可以使用一个小时。即使创建它的刷新令牌在该小时内已过期。一旦创建了访问令牌,无论发生什么,它都将工作一个小时。
-
我在自己的Web API上使用Oauth2,在Web应用程序上使用ASP.NET C#来使用该API。在我的web应用程序上,我正在进行HttpWebRequests。当我的访问令牌过期时,我调用一个方法“refreshToken”,该方法发出请求以获取新的访问令牌。这工作很好,没有问题...除了我得到的响应包含一个新的刷新令牌???我在等新的访问令牌。我甚至认为在没有再次传递凭据的情况下这是不可
-
授权服务器可以给Web应用客户端和本机应用程序客户端颁发刷新令牌。 刷新令牌在传输和储存时必须保持机密性,并只与授权服务器和刷新令牌被颁发的客户端共享。授权服务器必须维护刷新令牌和它被颁发给的客户端之间的绑定。刷新令牌必须只能使用带有RFC2818定义的服务器身份验证的1.6所述的TLS 传输。 授权服务器必须验证刷新令牌和客户端身份之间的绑定,无论客户端身份是否能被验证。当无法进行客户端身份验证
-
刷新令牌是用于获取访问令牌的凭据。刷新令牌由授权服务器颁发给客户端,用于在当前访问令牌失效或过期时,获取一个新的访问令牌,或者获得相等或更窄范围的额外的访问令牌(访问令牌可能具有比资源所有者所授权的更短的生命周期和更少的权限)。颁发刷新令牌是可选的,由授权服务器决定。如果授权服务器颁发刷新令牌,在颁发访问令牌时它被包含在内(即图1中的步骤D)。 刷新令牌是一个代表由资源所有者给客户端许可的授权的字
-
我对oauth2中的刷新令牌有点困惑。如它所说的访问令牌限制了黑客可以使用用户凭证的1小时的时间窗口,刷新令牌是万岁令牌,可以用来重新创建访问令牌。 我很困惑,如果有人从cookie中窃取了访问令牌,他也可以窃取刷新令牌,并可以使用刷新令牌创建新的访问令牌,因为我在JQuery中有ajax请求(客户端)
-
我面临一个问题,以刷新谷歌访问令牌在服务器端。 我从谷歌认证服务器得到的响应只是403状态代码。信息是这样的 仅仅为了刷新访问令牌,在我的服务器上使用SSL是强制性的吗?它已经在我的本地服务器上测试过,没有附加任何SSL到它。
-
我正在使用spring security oauth2对我的android应用程序客户端进行身份验证。当客户端请求带有grant_type作为密码时,服务器会发出访问令牌和刷新令牌。如果访问令牌过期,我可以通过发送带有grant_type作为refresh_token的请求来发出一个新的访问令牌。现在,如果我的刷新令牌过期,我会怎么做?我不想提示用户再次使用他的凭据进行身份验证。那么,有没有一种方