我在我的应用程序中使用Google OAuth 2.0 。我有一个刷新令牌,每当我的访问令牌到期时,我都会使用它来获取访问令牌。除非在获取访问令牌时收到错误400,否则我不会获取新的刷新令牌,这通常意味着我的刷新令牌不再有效(用户已撤销对我的应用的权限)。
现在在撤销对我的应用程序的权限后,我尝试调用使用访问令牌(尚未过期)的API工作正常。我知道当这个令牌过期时,除非我获取新的刷新令牌,否则我将无法获取新的令牌。
但是我想在撤销权限时,刷新令牌和访问令牌都变得无效?是的??那么,我的访问令牌是如何工作的?
答案 0 :(得分:0)
访问令牌被发送到资源服务器,资源服务器只能检查访问令牌是否有效且未过期。 当您撤消客户端应用程序的权限时,您可以在授权服务器中执行此操作,并且客户端应用程序可以继续访问资源服务器,直到访问令牌过期并需要刷新它,然后将收到401 - 未经授权的响应。 这就是为什么建议定义一个短访问令牌到期时间跨度。