我正在构建一个应用程序,我既是客户又是资源所有者(用OAuth的话来说)。此应用程序将使用OAuth 2连接到服务(如Google)。因为我正在构建应用程序,并且我使用该系统的唯一经过身份验证的用户是我自己,这是否取消了对刷新令牌的要求?在OAuth 2中是否支持这种情况?
我问,因为处理刷新令牌会使代码变得更复杂,如果有替代方法(但仍然是安全的),我会想避免这种情况。
答案 0 :(得分:0)
OAuth 2.0规范涵盖了此用例及其Client Credentials grant type:
当客户端请求访问受其控制的受保护资源时,客户端可以仅使用其客户端凭据(或其他受支持的身份验证方法)请求访问令牌。