Oauth2:刷新令牌以获得受保护的资源?
Oauth2: Refresh token for get protected resource?
我有一个授权服务器,它也为我提供了一个带有刷新令牌的访问令牌。
我可以像典型的 Oauth2 流程解释那样使用访问令牌获取受保护的资源,并且我可以通过刷新令牌获取新的访问令牌。至此,一切就OK了。
但是,我也可以使用刷新令牌获得受保护的资源!在Oauth2中正常吗?刷新令牌是否具有两种行为?
谢谢
这是不正常的,并且破坏了首先拥有两个令牌的意义,因为它们最终都在同一个地方。访问令牌是在客户端和受保护资源之间使用的东西。刷新令牌是仅在客户端和授权服务器之间使用的东西。它不应该在这两方之外为人所知,因此不应最终出现在资源服务器上。
但这里确实是客户端实现出了问题,因为即使刷新令牌可以让您访问受保护的资源,客户端也不应该这样做。
我有一个授权服务器,它也为我提供了一个带有刷新令牌的访问令牌。
我可以像典型的 Oauth2 流程解释那样使用访问令牌获取受保护的资源,并且我可以通过刷新令牌获取新的访问令牌。至此,一切就OK了。
但是,我也可以使用刷新令牌获得受保护的资源!在Oauth2中正常吗?刷新令牌是否具有两种行为?
谢谢
这是不正常的,并且破坏了首先拥有两个令牌的意义,因为它们最终都在同一个地方。访问令牌是在客户端和受保护资源之间使用的东西。刷新令牌是仅在客户端和授权服务器之间使用的东西。它不应该在这两方之外为人所知,因此不应最终出现在资源服务器上。
但这里确实是客户端实现出了问题,因为即使刷新令牌可以让您访问受保护的资源,客户端也不应该这样做。