我正在尝试了解如何将Laravel Passport与电子邮件和密码一起使用。
我知道我不应该在客户端存储client_id和client_secret。 我写了自己的登录名,并且按预期方式工作,作为回报,我获得了访问令牌,但我想不出一种方法来不在客户端上存储client_id和client_secret来刷新此令牌。 还是没有client_id和client_secret无法刷新访问令牌?
也已经读过How to use Laravel Passport with Password Grant Tokens?,但对于我如何以及是否可以刷新令牌没有明确的答案。
感谢您的帮助!
答案 0 :(得分:1)
https://www.oauth.com/oauth2-servers/access-tokens/refreshing-access-tokens/
通常,刷新令牌仅与机密客户端一起使用。 但是,由于可以使用授权码流程 没有客户端机密,客户端也可以使用刷新授权 没有秘密。如果客户端被发布了秘密,则 客户必须验证此请求。通常,该服务将 允许其他请求参数client_id和 client_secret,或在HTTP Basic中接受客户端ID和密码 auth标头。如果客户端没有秘密,则没有客户端 身份验证将出现在此请求中。
这意味着对于不应该存储凭据的客户端应用,刷新令牌可能不是正确的选择。