我们使用username-password grant从我们的auth服务器获取访问令牌。我们希望使用提供的刷新令牌在访问令牌到期之前刷新访问令牌,直到用户注销或关闭客户端应用程序。
但是我找不到任何关于如何发出此刷新令牌请求的示例..
要获得令牌,我们称之为:
curl -v --data "grant_type=password&username=user&password=pass&client_id=my_client" http://localhost:8080/oauth/token
所以要刷新我希望这个调用看起来像这样:
curl -v --data "grant_type=refresh_token&access_token=THE_ACCESS_TOKEN&refresh_token=THE_REFRESH_TOKEN" http://localhost:8080/oauth/token
或者
curl -v -H "Authorization: Bearer THE_ACCESS_TOKEN" --data "grant_type=refresh_token&refresh_token=THE_REFRESH_TOKEN" http://localhost:8080/oauth/token
但它会给我一个401 ..
哦是的,也许我需要添加clientId?我不能使用客户端密钥,因为没有(请参阅上面获取令牌的请求)。毕竟使用用户名和密码进行身份验证..
我认为我们的服务器配置正确,所以我不会在这里发布。如果我的一个示例请求应该工作,并且您需要查看重要的配置部分,我将添加它们。
谢谢!
答案 0 :(得分:34)
正如我所说,我们不使用客户端秘密,因为我们不能在Javascript客户端应用程序中闲逛。当使用用户名密码授权时,无论如何都不需要它。 (请参阅我们请求访问令牌的方式)。 事实上,我接近解决方案并最终弄清楚了:
curl -v --data "grant_type=refresh_token&client_id=THE_CLIENT_ID&refresh_token=THE_REFRESH_TOKEN" http://localhost:8080/oauth/token
所以不需要访问令牌或客户端密钥。
总之,感觉足够安全。
答案 1 :(得分:9)
对于密码grant_type,需要clientId和clientSecret。第三次尝试即将结束,但是您在Authorization标头中传递Base64编码的clientId和clientSecret而不是Access Token。这是正确的刷新令牌请求:
curl -H "Authorization: Bearer [base64encode(clientId:clientSecret)]" "https://yourdomain.com/oauth/token?grant_type=refresh_token&refresh_token=[yourRefreshToken]"
如需参考,请查看:http://techblog.hybris.com/2012/06/11/oauth2-resource-owner-password-flow/