OAUTH access_token TTL
OAUTH access_token TTL
我有一个 OAUTH2 身份验证服务器,它为每个新 acccess_token.
设置默认 TTL (3600s)
但在我看来,每个资源服务器的 access_token TTL 应该不同。
对于 JavaScript Web 界面,它应该是 3600 秒,对于 Android 应用程序,它可能是一个月。
谁决定 access_token TTL 应该有多长?
客户端的 GET access_token 请求是否应该请求自定义 TTL?
是否应该在身份验证服务器上的服务配置中定义每个资源的 TTL(以及 client_id、client_secret、应用程序描述等)?
颁发令牌的授权服务器负责为其分配到期时间。没有客户端可用于指示首选 TTL 的标准化授权请求参数。授权服务器根据可能基于客户端标识符和 associated/configured "permissions" 或 "trust"、授权请求中可用的参数(例如 scope)和其他上下文数据,如 HTTP 请求参数、一天中的时间等
我有一个 OAUTH2 身份验证服务器,它为每个新 acccess_token.
设置默认 TTL (3600s)但在我看来,每个资源服务器的 access_token TTL 应该不同。 对于 JavaScript Web 界面,它应该是 3600 秒,对于 Android 应用程序,它可能是一个月。
谁决定 access_token TTL 应该有多长? 客户端的 GET access_token 请求是否应该请求自定义 TTL? 是否应该在身份验证服务器上的服务配置中定义每个资源的 TTL(以及 client_id、client_secret、应用程序描述等)?
颁发令牌的授权服务器负责为其分配到期时间。没有客户端可用于指示首选 TTL 的标准化授权请求参数。授权服务器根据可能基于客户端标识符和 associated/configured "permissions" 或 "trust"、授权请求中可用的参数(例如 scope)和其他上下文数据,如 HTTP 请求参数、一天中的时间等