OAuth 客户端凭据重新发布访问令牌与刷新令牌
OAuth Client Credentials Reissue Access Token vs. Refresh Token
阅读一些关于 Oauth 2 流程中刷新令牌用途的类似帖子,它们对用户参与的身份验证(例如用户名和密码)很有意义,但对于 Oauth2 客户端凭据流程,为什么要冒险使用刷新令牌吗?
与通过客户端 ID 和客户端密码身份验证获取访问令牌相比,在新访问令牌过期后使用刷新令牌获取新访问令牌是否更小或更快?
引用的帖子:
- Why Does OAuth v2 Have Both Access and Refresh Tokens?
- what's the point of refresh token?
简而言之——客户端可以在不涉及资源所有者的情况下代表自己行事;只需像以前一样请求一个新的访问令牌。
...but for the Oauth2 client credentials flow, why risk utilizing a
refresh token at all?
很好的观察;客户端凭据流不会发出刷新令牌。在没有资源所有者的情况下,假设客户端可以根据需要请求新的访问令牌是合理的。
Is there less system strain or is it faster to use a refresh token to
get a new access token after it has expired as opposed to getting an
access token through client id and client secret authentication?
虽然 "fast" 刷新令牌的处理方式肯定是特定于实现的,但处理刷新令牌的速度可能比请求新访问令牌的速度稍慢。这是因为客户端能够直接请求访问令牌,而无需针对调用客户端验证刷新令牌。
阅读一些关于 Oauth 2 流程中刷新令牌用途的类似帖子,它们对用户参与的身份验证(例如用户名和密码)很有意义,但对于 Oauth2 客户端凭据流程,为什么要冒险使用刷新令牌吗?
与通过客户端 ID 和客户端密码身份验证获取访问令牌相比,在新访问令牌过期后使用刷新令牌获取新访问令牌是否更小或更快?
引用的帖子:
- Why Does OAuth v2 Have Both Access and Refresh Tokens?
- what's the point of refresh token?
简而言之——客户端可以在不涉及资源所有者的情况下代表自己行事;只需像以前一样请求一个新的访问令牌。
...but for the Oauth2 client credentials flow, why risk utilizing a refresh token at all?
很好的观察;客户端凭据流不会发出刷新令牌。在没有资源所有者的情况下,假设客户端可以根据需要请求新的访问令牌是合理的。
Is there less system strain or is it faster to use a refresh token to get a new access token after it has expired as opposed to getting an access token through client id and client secret authentication?
虽然 "fast" 刷新令牌的处理方式肯定是特定于实现的,但处理刷新令牌的速度可能比请求新访问令牌的速度稍慢。这是因为客户端能够直接请求访问令牌,而无需针对调用客户端验证刷新令牌。