使用 Guid 作为 OAuth2 访问令牌是否可行?
Is it feasible to use a Guid as an OAuth2 access token?
我正在尝试查看是否可以让我的 OAuth2 提供者将 return 和 Guid 作为访问令牌。我知道有现成的和定义明确的令牌提供者和格式。
生成的令牌如下所示:
{
access_token: "a31b99f9-01d7-7165-09be-73d5b7655f15",
expires_in: 1799,
token_type= "bearer"
}
我不需要支持声明,其余的身份验证详细信息将存储在后端的某个地方,以供我需要验证时使用(检查到期时间、检索其他详细信息等)。我只是想知道这是否也是一个可行的选择?
GUID 不是令牌。令牌包含您需要能够检索和使用的信息,否则拥有它有什么意义?令牌包括诸如其何时过期等信息。如果您不知道令牌何时过期,您将如何使用它?
例如,您可以将 GUID 用作您的 ClientID 或 ClientSecret(或两者),但这是您所能接受的范围。
是的。只要授权服务器支持 OAuth 2.0 Token Introspection.
,令牌就可以通过“引用”传递
我正在尝试查看是否可以让我的 OAuth2 提供者将 return 和 Guid 作为访问令牌。我知道有现成的和定义明确的令牌提供者和格式。
生成的令牌如下所示:
{
access_token: "a31b99f9-01d7-7165-09be-73d5b7655f15",
expires_in: 1799,
token_type= "bearer"
}
我不需要支持声明,其余的身份验证详细信息将存储在后端的某个地方,以供我需要验证时使用(检查到期时间、检索其他详细信息等)。我只是想知道这是否也是一个可行的选择?
GUID 不是令牌。令牌包含您需要能够检索和使用的信息,否则拥有它有什么意义?令牌包括诸如其何时过期等信息。如果您不知道令牌何时过期,您将如何使用它?
例如,您可以将 GUID 用作您的 ClientID 或 ClientSecret(或两者),但这是您所能接受的范围。
是的。只要授权服务器支持 OAuth 2.0 Token Introspection.
,令牌就可以通过“引用”传递