重复 OAuth 2 访问令牌请求的预期行为
Expected behavior for repeated OAuth 2 access token request
我正在为应用程序实施 OAuth 2,但在重复成功的令牌请求时,我无法在 specification 中找到预期的行为。
我的问题是:
重复请求成功时
- 它应该 return 和以前一样的 Bearer 令牌吗?
- 还是应该 return 一个新的令牌并使之前的令牌无效?
- 或者它应该 return 一个新的令牌并排存在吗?所以你通过两个令牌授权。
我看到 twitter implementation return 是同一个标记,但这符合规范吗?
预期的行为是授权服务器returns一个新的访问令牌。授权服务器可能会根据其维护的安全策略使先前的访问令牌无效,对此没有要求。访问令牌应该是短暂的,并且只有在旧的访问令牌过期或即将过期时才应该请求新的访问令牌。除此之外:不记名令牌的格式可能是这样的(例如,一个独立的 JWT),它甚至不能被撤销。
我正在为应用程序实施 OAuth 2,但在重复成功的令牌请求时,我无法在 specification 中找到预期的行为。
我的问题是:
重复请求成功时
- 它应该 return 和以前一样的 Bearer 令牌吗?
- 还是应该 return 一个新的令牌并使之前的令牌无效?
- 或者它应该 return 一个新的令牌并排存在吗?所以你通过两个令牌授权。
我看到 twitter implementation return 是同一个标记,但这符合规范吗?
预期的行为是授权服务器returns一个新的访问令牌。授权服务器可能会根据其维护的安全策略使先前的访问令牌无效,对此没有要求。访问令牌应该是短暂的,并且只有在旧的访问令牌过期或即将过期时才应该请求新的访问令牌。除此之外:不记名令牌的格式可能是这样的(例如,一个独立的 JWT),它甚至不能被撤销。